() FreeRADIUS 


orld's most popular RADIUS Ser 





FreeRADIUS 新 手 入 门 


Akagl201 


FreeRADIUS 新 手 入 门 


介绍 
ch00 序 
阅读 


ch01 介绍 AAA 和 RADIUS 


Lu 


Authentication, Authorization 和 Accounting 


RADIUS 
FreeRADIUS 


这 


ch02 安装 
开始 之 前 
预 编译 程序 
安装 FreeRADIUS 
从 源码 安装 
编译 RPM 包 
编译 SUSE 包 


客户 端 程序 的 字典 访问 
确保 合适 的 启动 


总 疆 


IAN 


ch03 开始 使 用 FreeRADIUS 
一 个 简单 的 配置 
配置 FreeRADIUS 
帮助 你 自己 


宅 握 FreeRADIUS 的 man page 


黄金 法 则 
深入 到 radiusd 内 部 


i 2 


(AINA=4 


ch04 Authentication 


FreeRADIUS 新 手 入 门 


Authentication 协议 


FreeRADIUS -- 在 authenticate 之 前 authorize 
使 用 FreeRADIUS authenticate 一 个 用 户 


存储 密码 
哈 希 我 们 的 密码 
其 他 authentication 方法 


总 疆 


LAN 


ch05 用 户 名 和 密码 的 来 源 


用 户 存储 
系统 用 户 


在 FreeRADIUS 中 合并 linux 系统 用 户 


MySQL 作为 用 户 存储 


在 FreeRADIUS 中 合并 MySQL 数据 库 


LDAP 作为 用 户 存 储 
连接 FreeRADIUS 到 LDAP 
Active Directory 作为 用 户 存 储 


连接 FreeRADIUS 到 Active Directory 


总 疆 


A 器 


ch06 Accounting 


辽 

基本 的 accounting 

模拟 来 自 NAS 的 accounting 
限制 用 户 的 同时 连接 
限制 一 个 用 户 的 使 用 量 
accounting 的 内 务 管理 


人 5 


器 


ch07 Authorization 


实现 限制 

在 FreeRADIUS 中 authorization 
介绍 unlang 

在 unlang 中 使 用 话语 多 

应 用 属性 

SQL 语句 作为 变量 


设置 变量 的 默认 值 


FreeRADIUS 新 手 入 门 


使 用 命令 替换 

使 用 正则 表达 式 

unlang 语言 实践 

使 用 unlang 来 创建 数据 计数 器 


总 疆 


一 口 


ch08 虚拟 服务 器 


为 什么 我 们 使 用 虚拟 服务 器 ? 
定义 和 使 能 虚拟 服务 器 
创建 两 个 虚拟 服务 器 

使 用 使 能 的 虚拟 服务 器 

使 用 一 个 虚拟 服务 器 

虚拟 服务 器 的 快乐 时 光 
合并 hotspot 快乐 时 光 policy 
用 虚拟 服务 器 巩固 现 有 配置 
创建 一 个 对 于 电脑 的 虚拟 服务 器 
理论 

预定 义 的 虚拟 服务 器 


总 疆 


心志 


ch09 模块 


安装 的 , 可 得 到 的 和 缺少 的 模块 
发 掘 可 得 到 的 模块 

包括 和 配置 一 个 模块 

合并 expiration 和 linelog 模块 
使 用 一 个 模块 带 有 不 同 的 配置 
模块 的 顺序 和 返回 码 

研究 模块 的 顺序 

一 些 有 趣 的 模块 


总 疆 


一 口 


ch10 EAP 


EAP 基础 
EAP 实践 
在 FreeRADIUS 和 JRadius 上 测试 EAP 


0 
仿 鼻 器 


FreeRADIUS 新 手 入 门 


生产 环境 中 的 EAP 11.5 
为 你 的 组 织 创建 一 个 RADIUS PKI 11.6 
在 inner-tunnel 上 测试 authentication 11.7 
虚拟 服务 器 11.8 
禁用 无 用 的 EAP 方法 11.9 
总 结 11.10 
ch11 字典 12 
为 什么 我 们 需要 字典 12.1 
怎样 包含 字典 12.2 
包含 新 的 字典 12.3 
FreeRADIUS 怎样 包含 字典 文件 12.4 
更 新 MikroTik 字典 12.5 
字典 文件 格式 12.6 
总 结 12.7 
ch12 漫游 和 代理 13 
漫游 -- 总 览 13.1 
Realms 13.2 
研究 FreeRADIUS 的 默认 realms 13.3 
激活 NULL realm 13.4 
定义 realm 13.5 
拒绝 没有 一 个 realm 的 请 求 13.6 
代理 13.7 
配置 两 个 组 织 之 间 的 代理 13.8 
过 滤 来 自 一 个 家 庭 服务 器 的 回复 属性 13.9 
使 用 更 优 的 方式 来 进行 状态 检查 13.10 
仿 丨 代理 的 accounting 13.11 
总 结 13.12 
ch13 排查 问题 14 
chff 附录 15 
术语 表 


FreeRADIUS Beginners Guide 


e 本 人 已 经 不 做 RADIUS 这 块 东西 了 . 由 于 有 大 量 的 朋友 给 我 邮件 来 索取 和 督促 我 来 继续 翻 
译 完 这 边 书 , 所 以 , 放 个 捐款 连接 吧 . 
e@ 规则 : 每 收 到 10 块 钱 , 更 新 一 章 . 


Akagi201 曼 





e ch01 介绍 AAA 和 RADIUS 
o Authentication, Authorization 和 Accounting 
o RADIUS 


FreeRADIUS 新 手 入 门 


O 


Le 


FreeRADIUS 


总 疆 


A 


e ch02 安装 


O 


O 


[eo 


Le) 


Le 


开始 之 前 
预 编 译 程序 

安装 FreeRADIUS 
从 源码 安装 

编译 RPM 包 

编译 SUSE 包 
编译 deb 包 
安装 的 二 进 制 程序 
是 否 用 root 运行 
客户 端 程序 的 字典 访问 
确保 合适 的 启动 


总 疆 


SINA 


。 ch03 开始 使 用 FreeRADIUS 


0 


Le) 


Le) 


Le 


Le 


O 


Le 


一 个 简单 的 配置 

配置 FreeRADIUS 

帮助 你 自己 

宅 握 FreeRADIUS 的 man page 
黄金 法 则 

深入 到 radiusd 内 部 


2 


AD 


e ch04 Authentication 


Le) 


O 


be] 


ie 


Le 


O 


O 


Authentication 协议 

FreeRADIUS -- 在 authenticate 之 前 authorize 
使 用 FreeRADIUS authenticate 一 个 用 户 

存储 密码 

哈 希 我 们 的 密码 

其 他 authentication 方法 


这 .2 


SIN A 


。 ch05 用 户 名 和 密码 的 来 源 


NA 


3 


O 


O 


O 


O 


O 


用 户 存储 

系统 用 户 

在 FreeRADIUS 中 合并 linux 系统 用 户 
MySQL 作为 用 户 存储 

在 FreeRADIUS 中 合并 MySQL 数据 库 
LDAP 作为 用 户 存储 

连接 FreeRADIUS 到 LDAP 

Active Directory 作为 用 户 存储 


FreeRADIUS 新 手 入 门 


o 连接 FreeRADIUS 到 Active Directory 
o 总 结 
e ch06 Accounting 
o 这 章 的 要 求 
o 基本 的 accounting 
o 模拟 来 自 NAS 的 accounting 
o 限制 用 户 的 同时 连接 
o 限制 一 个 用 户 的 使 用 量 
o accounting 的 内 务 管理 
o 总 结 
e。 ch07 Authorization 
o 实现 限制 
o 在 FreeRADIUS 中 authorization 
o 介绍 unlang 
o 在 unlang 中 使 用 话语 多 
o 应 用 属性 
o SQL 语 名 作为 变量 
o 设置 变量 的 默认 值 
o 使 用 命令 替换 
o 使 用 正则 表达 式 
o unlang 语言 实践 
o 使 用 unlang 来 创建 数据 计数 器 
5 总 结 
e ch08 虚拟 服务 器 
o 为 什么 我 们 使 用 虚拟 服务 器 ? 
o 定义 和 使 能 虚拟 服务 器 
o 创建 两 个 虚拟 服务 器 
o 使 用 使 能 的 虚拟 服务 器 
o 使 用 一 个 虚拟 服务 器 
o 虚拟 服务 器 的 快乐 时 光 
o 合并 hotspot 快乐 时 光 policy 
o 用 虚拟 服务 器 巩 国 现 有 配置 
o 创建 一 个 对 于 电脑 的 虚拟 服务 器 


o 理论 
o 预定 义 的 虚拟 服务 器 
o 总 结 


e ch09 模块 
o 安装 的 , 可 得 到 的 和 缺少 的 模块 
o 发 气 可 得 到 的 模块 
o 包括 和 配置 一 个 模块 


3 


NA 


FreeRADIUS 新 手 入 门 


O 


O 


合并 expiration 和 linelog 模块 
使 用 一 个 模块 带 有 不 同 的 配置 
模块 的 顺序 和 返回 码 

研究 模块 的 顺序 

一 些 有 趣 的 模块 


总 疆 


STINE 


。 ch10 EAP 


O 


Lo) 


O 


Le 


Le 


EAP 基础 

EAP 实践 

在 FreeRADIUS 和 JRadius 上 测试 EAP 
仿 丨 器 

生产 环境 中 的 EAP 

为 你 的 组 织 创 建 一 个 RADIUS PKI 

在 inner-tunnel 上 测试 authentication 
虚拟 服务 器 

禁用 无 用 的 EAP 方法 


总 疆 


IN A 


。 ch11 字典 


Le 


0O, 


Le 


O 


Le) 


Le 


Le 


为 什么 我 们 需要 字典 
怎样 包含 字典 
包含 新 的 字典 


FreeRADIUS 怎样 包含 字典 文件 
更 新 MikroTik 字典 
字典 文件 格式 


总 疆 


A 


e ch12 漫游 和 代理 


O 


ke 


Le 


Le 


O 


0 


漫游 -- 总 览 

Realms 

研究 FreeRADIUS 的 默认 realms 
激活 NULL realm 

定义 realm 

拒绝 没有 一 个 realm 的 请 求 

代理 

配置 两 个 组 织 之 间 的 代理 

过 滤 来 自 一 个 家 庭 服务 器 的 回复 属性 
使 用 更 优 的 方式 来 进行 状态 检查 
仿 丨 代理 的 accounting 


总 疆 


一己 


e ch13 排查 问题 
e chff 附录 


3 


NA 


10 


排版 规范 


。 中 文 文案 排版 指 北 
。 有 一 点 特别 的 地 方 是 , 我 本 人 的 全 用 英文 半角 标点 符号 , 所 以 , 希望 大 家 也 用 "半角 标点 + 空 
格 " 的 方式 . 


Git 协作 方式 


e。 CONTRIBUTING 


Gitbook 指南 


e@ 安装 命令 行 工 具 : npm install -g gitbook-cli 建议 使 用 最 新 3.0 以 上 版 本 . 

e build 前 先 安装 book.json 中 配置 的 插件 ，gitbook install . 

e。 本 地 编译 : gitbook build 会 将 build 后 网 页 文件 放 到 _book 目录 . 

e@ 本 地 查看 : gitbook serve 默认 会 进行 build, 然后 serve 一 个 网 页 提供 给 本 地 浏览 器 访问 . 


LICENSE 


。 LICENSE 


FreeRADIUS 新 手 入 门 包含 了 大 量 实际 的 练习 来 帮助 你 学 会 从 基础 的 安装 到 更 高 级 的 配置 像 集 
成 LDAP 和 Active Directory 的 一 切 .这 本 书 将 会 帮助 你 理解 在 FreeRADIUS 里 面 的 
authentication, authorization 和 accounting 使 用 现在 最 流行 的 linux 发 行 版 . 使 用 realms 和 fail- 
Over 配 置 的 更 大 规模 的 部 署 也 在 tips 里 面 涵 盖 到 了 . 每 个 章节 最 后 有 一 个 课堂 测试 来 验证 你 的 
理解 . 


这 本 书 涵盖 了 哪些 内 容 


这 本 书 可 以 被 划分 为 3 个 部 分 : 


1， 介绍 和 安装 (第 一 章 到 第 三 章 ) 
2，FreeRADIUS 的 AAA 功能 (第 四 章 到 第 七 章 ) 
3， 高 级 话题 (第 八 章 到 第 十 三 章 ) 


让 我 们 来 看 看 每 一 章 的 内 容 : 


第 一 章 , 介绍 AAA 和 RADIUS, 介绍 FreeRADIUS 和 RADIUS 协议 . 他 着 重 介绍 了 一 些 关键 的 
RADIUS 概念 , 帮助 用 户 避 免 常 见 的 误解 . 


第 二 章 , 安装 , 描述 在 流行 的 linux 发 行 版 上 如 何 从 源码 编译 和 安装 FreeRADIUS. 也 涵盖 了 使 用 
流行 的 linux 发 行 版 的 预 编 译 的 FreeRADIUS 的 安装 包 来 安装 . Ubuntu, SUSE, 和 CentOS 将 会 
被 使 用 来 确保 广泛 的 覆盖 . 


第 三 章 , 开始 使 用 FreeRADIUS, 简要 的 介绍 FreeRADIUS 的 许多 组 件 . 也 讨论 了 处 理 一 个 基本 
authentication 请 求 的 过 程 ， 


第 四 章 , Authentication, 教授 authentication 方 法 和 他 们 如 何 工作 . EAP(Extensible 
Authentication Protocol) 在 后 面 一 个 专门 的 章节 讲解 . 


第 五 章 , 用 户 名 和 密码 的 来 源 , 涵盖 许多 用 户 名 /密码 组 合 可 以 存储 的 地 方 . 他 显示 了 哪些 模块 
被 包含 并 且 怎 样 配置 FreeRADIUS 来 实现 这 些 存储 . 


第 六 章 , Accounting, 讨论 accounting 的 需求 和 记录 accounting 数 据 的 可 选项 . 也 讨论 了 实现 一 
个 policy, 包含 限制 sessions 和 /或 时 间 和 /或 数据 . 


第 七 章 , Authorization, 讨论 了 authorization 的 许多 方面 , 包括 unlang 的 使 用 . 


第 八 章 , 虚拟 服务 器 , 讨论 了 虚拟 服务 器 的 许多 方面 和 他 们 可 能 被 潜在 地 使 用 的 地 方 . 


站 


第 九 章 , 模块 , 讨论 了 FreeRADIUS 使 用 的 许多 模块 和 如 何 配置 某 个 模块 的 multiple instances. 


第 十 章 , EAP, 一 个 专门 讨论 EAP 的 章节 , 是 一 个 一 站 式 EAP(802.11x 和 WiFi) 的 章节 . 
第 十 一 章 , 字典 , 介绍 字典 , 用 来 映射 管理 员 看 到 和 使 用 的 名 字 , 到 RADIUS 协 议 使 用 的 数字 . 


第 十 二 章 , 漫游 和 代理 , 处 理 RADIUS 协 议 , 允许 authorization 和 accounting 请 求 的 代理 . 这 个 让 
漫游 成 为 可 能 . 这 章 包 含 了 关于 FreeRADIUS 中 使 用 代理 的 许多 方面 . 


第 十 三 章 , 排查 问题 , 解答 许多 常见 问题 , 给 出 例子 如 何 去 搜 索 , 和 如 何 修复 问题 . 


阅读 这 本 书 的 前 提 


你 需要 熟悉 linux 和 对 TCP/IP 有 扎实 的 理解 . 不 需要 提前 知道 RADIUS 和 FreeRADIUS. 


为 了 最 好 的 实践 练习 , 你 需要 一 个 干净 安装 的 Ubuntu, SUSE 或 者 CentOS. 


这 本 书 是 为 了 谁 写 的 ? 


如 果 你 是 一 个 IPS 或 者 网 络 管理 者 , 需要 跟踪 和 控制 网 络 使 用 , 那么 这 本 书 是 为 你 准备 的 . 


~ 中 

读者 反馈 

来 自我 们 的 读者 的 反馈 永远 是 欢迎 的 . 让 我 们 知道 你 对 这 本 书 的 看 法 -- 无 论 你 是 否 喜 欢 . 读者 
的 反馈 对 我 们 来 说 是 重要 的 . 读者 的 反馈 是 重要 的 对 于 我 们 来 写 出 你 最 能 好 好 利用 的 话题 


为 了 给 我 发 送 反馈 , 简单 低 发 送 一 封 邮 件 到 feedback@packtpub.com, 并 且 提 到 书 名 在 你 的 邮 
件 的 主题 中 . 


如 果 有 本 书 你 需要 并 且 想 要 看 到 我 们 发 布 , 请 发 送 给 我 们 通过 http://packtpub.com 网 站 上 
的 SUGGEST A TITLE 或 者 发 送 邮 件 到 suggest@packtpub.com 


如 果 有 一 个 话题 你 有 经 验 并 且 感 兴趣 , 想 要 写 或 者 贡献 一 本 书 , 可 以 看 网 站 
http://packtpub.com/authors 上 的 author guide . 


客户 支持 
由 于 你 是 Packet 书 的 骄傲 的 拥有 者 , 我 们 有 许多 东西 来 帮会 组 你 来 充分 利用 你 的 购买 . 
下 载 这 本 书 的 样 例 程序 


你 可 以 在 网 站 http:/W/www.PacktPub.com 上 通过 你 的 购买 账号 下 载 所 有 你 购买 的 书 的 样 例 程序 . 
如 果 你 在 其 他 地 方 购买 , 你 可 以 访问 http://www.PacktPub.com/support 并 且 注 册 来 让 邮件 直接 
发 送 给 你 . 


勤 误 


尽管 我 们 已 经 已 经 很 小 心 的 确保 我 们 内 容 的 准确 性 , 错误 也 会 发 生 . 如 果 你 在 我 们 其 中 的 一 本 
书 中 发 现 错误 -- 也 许 是 文字 中 错误 或 者 代码 中 错误 -- 我 们 将 会 感激 如 果 你 愿意 报告 给 我 们 . 通过 
这 样 做 , 你 可 以 让 其 他 读者 避免 挫折 并 且 帮 助 我 们 改进 这 本 书 的 子 版 本 . 如 果 你 发 现任 何 错误 ， 
请 访问 http://www.packtpub.com/support 来 报告 他 们 , 选择 你 的 书 , 点 击 errata submission 


form 链接 , 并 且 输 入 你 的 错误 的 细节 . 一 旦 你 的 错误 被 验证 , 你 的 提交 将 会 被 接受 并 且 勤 误 将 会 
被 上 传 到 我 们 的 网 站 , 或 者 被 添加 到 任何 现 有 的 勘误 列表 , 在 那个 书 名 的 勘误 部 分 . 任何 现 有 的 
看 屋 可 以 通过 选择 你 的 书 名 从 http://www.packtpub.com/support 来 查看 . 


版 权 侵 权 


互联 网 上 内 容 的 版 权 侵 权 是 一 个 一 直 存 在 的 问题 , 包括 任何 媒介 . 在 Packt, 我 们 会 认真 保护 我 
们 的 版 权 和 许可 证 . 如 果 你 偶然 发 现任 何 我 们 作品 的 非法 拷贝 , 以 任何 形式 , 在 互联 网 上 , 请 立 
即 提供 给 我 们 地 址 或 者 网 址 , 这 样 我 们 可 以 追踪 补救 . 


请 通过 copyright@packtpub.com 联 系 我 们 , 附带 一 个 怀疑 侵权 的 链接 


我 们 欣赏 你 保护 我 们 作者 的 帮助 , 这 样 我 们 能 够 给 你 有 价值 的 内 容 . 


问题 


你 可 以 通过 questions@packtpub.com 联 系 我 们 , 如 果 你 关于 这 本 书 的 任何 方面 有 问题 , 这 样 我 
们 将 会 尽 我 们 最 大 努力 查 出 他 . 


我 很 荣幸 展示 给 你 一 个 FreeRADIUS 入 门 . 这 本 书 将 会 帮助 你 部 署 一 个 可 靠 的 , 稳定 的 , 和 可 扩 
展 的 RADIUS 服务 器 在 你 的 环境 . 


这 个 章节 是 用 来 介绍 RADIUS 和 FreeRADIUS. 我 们 将 会 介绍 许多 理论 并 且 推 荐 你 要 留意 他 . 这 


将 会 提供 给 你 关于 RADIUS 协议 工作 原理 的 一 个 好 的 基础 , 并 且 将 会 在 后 续 的 章节 中 提供 很 多 
帮助 . 


在 这 一 草 我 们 将 会 


e。 了 解 什么 是 AAA, 和 我 们 为 什么 需要 他 . 

。 学 习 RADIUS 从 哪 开始 , 和 他 为 什么 如 今 如 此 有 意义 . 

。 了 解 为 什么 FreeRADIUS 作 为 一 个 RADIUS 服 务 器 确实 表现 突出 . 
。 理解 AAA, RADIUS 和 FreeRADIUS 之 间 的 关系 . 


用 户 通 过 许多 设备 获取 数据 网 络 和 网 络 资源 的 权限 . 这 个 发 生 在 一 个 大 范围 的 硬件 上 . 以 太 网 
交换 机 , Wi-Fi access points, 和 VPN 服 务 器 都 提供 网 络 访问 . 


当 这 些 设备 用 来 控制 网 络 访问 , 例如 一 个 带 有 WPA2 企 业 版 安全 实现 的 WiFi access point 或 者 
一 个 带 有 802.1x(EAP) 的 基于 端口 的 认证 的 以 太 网 交换 机 , 他 们 被 称 做 一 个 NAS(Network 


Access Server). 


所 有 这 些 设备 需要 进行 一 些 形 式 的 控制 来 确保 合适 的 安全 和 使 用 . 这 个 要 求 通常 被 描述 为 
AAA(Authentication, Authorization 和 Accounting). AAA 有 时 也 被 称 为 "三 A 框 架 "(Triple A 
Framework). AAA 是 一 个 高 层次 的 架构 模型 , 可 以 被 用 各 种 方法 实现 . 


AAA 是 通过 许多 RFC 来 指定 的 . 一 般 的 AAA 架构 是 在 RFC2903 上 指定 的 . 也 有 许多 RFC 涵 盖 不 
同 的 AAA 方面 . 


Authentication 


Authentication 通 常 是 考虑 的 第 一 步 ,为 了 获取 网 络 访问 和 他 提供 的 服务 . 这 是 一 个 过 程 用 来 确 
认 是 否 Alice 提 供 i 的 . 提供 credential 的 最 常见 的 方式 是 通过 用 户 名 和 密码 . 
其 他 方式 像 one-time token, certificate, PIN numbers, 或 者 甚至 biometric scanning 也 可 以 使 
用 . 


在 成 功 authentication 之 后 一 个 session 被 初始 化 . 这 个 session 持 续 直 到 网 络 连接 被 终止 掉 . 
Alice 是 谁 ? 

Alice 和 Bob 是 占 位 名 . 事实 上 , 有 一 个 完整 的 角色 集合 , 每 一 个 代表 一 个 指定 的 角色 . 我 们 将 会 
使 用 下 面 的 占 位 名 : 


e。 Alice: 一 个 想 要 访问 我 们 网 络 的 用 户 . 
e Bob: 另 一 个 想 要 访问 我 们 网 络 的 用 户 . 
。 |saac: ISP(Internet Service Provider)/ 我 们 的 网 络 


更 多 的 介绍 : http://en.wikipedia.org/wiki/Alice_and_Bob 


下 面 的 图 片 阅 述 了 一 个 authentication 过 程 通 过 使 用 常见 的 活动 , 从 ATM 机 中 取 钱 . 这 个 实质 上 
让 你 获取 访问 银行 网 络 的 权限 (尽管 他 非常 有 限制 ). 
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Hello, T'm Alice and | want some money 
Not so fast missy! what's your PIN code? 
PIN = 10810 

Welcome to the Bank of lsaac 


一 





Authorization 


Authorization 是 一 种 lsaac 控 制 资源 使 用 的 方式 . 在 Alice 已 经 authenticate 了 她 自己 之 后 , lsaac 
可 以 强加 某 些 限制 或 者 授予 茶 些 权 利 . Isaac 可 以 例如 检查 Alice 从 哪 台 设备 访问 网 络 和 基于 这 
点 来 做 出 决定 . 他 可 以 限制 Alice 可 以 拥有 的 打开 的 session 的 个 数 , 给 她 一 个 预先 决定 的 IP 地 址 ， 
只 允许 某 些 流量 通过 , 或 者 甚至 执行 QoS 基于 一 个 SLA(Service Level Agreement, 服务 级 别 协 
议 ). 


Authorization 通 常 包含 远 辑 . 如 果 Alice 是 学 生 组 的 一 部 分 那么 在 工作 时 间 没 有 网 络 访问 权限 . 
如 果 Bob 通 过 一 个 captive portal 访 问 网 络 , 那么 一 个 带宽 限制 被 强加 来 阻止 他 超 量 使 用 网 络 连 
接 . 


逻辑 可 以 基于 许多 事情 . Authorization 决 定 例如 可 以 基于 组 成 员 或 者 你 连接 的 NAS 或 者 甚至 你 
访问 资源 是 星期 几 . 


如 果 我 们 举 前 面 ATM 的 例子 , 我 们 可 以 看 到 如 果 Alice 没 有 一 个 透支 机 制 , 她 会 被 限制 她 可 以 取 
出 的 钱 的 数量 . 


| want $1000 
一 一 和 


Sorry, you only have $200 available in your 
account and you do not have an Overdraft 
facility. 

< 
| want $100 


ee—"" > 


Sure, here is the $100 





Accounting 


Accounting 是 一 种 测量 资源 使 用 量 的 方式 . 在 lsaac 已 经 确定 谁 是 Alice 并 且 在 建立 的 session 上 
强加 合适 的 控制 , 他 也 可 以 测量 她 的 使 用 量 . Accounting 是 测量 使 用 量 的 不 间断 的 过 程 


这 允许 Isaac 来 跟踪 Alice 花 下 多 少时 和 ee 获取 accounting 数 据 
允许 lsaac 来 对 Alice 的 资源 进行 计 费 , 趋势 分 析 , 和 行为 监 和 
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当 Alice 想 要 检查 她 的 使 用 量 和 可 取出 的 钱 , ATM 提 供 这 个 功能 . lsaac 银 行 也 可 以 监视 他 的 账户 
和 发 现 是 否 她 经 常 在 月 底 前 花 光 . 他 们 然后 可 以 提供 给 他 一 个 透支 机 制 . 


How much money did | draw the past 
week? 





RADIUS 是 一 种 协议 用 来 提供 在 TCP/IP 网 络 上 的 AAA. 下 一 节 将 会 继续 更 多 关于 RADIUS 协议 
的 内 容 . 
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RADIUS 是 Remote Access Dial In User Service 的 缩写 . RADIUS 是 一 个 AAA 解决 方案 的 一 部 
分 , 由 Livingston 企 业 发 布 到 Merit Neowrk 在 1991 年 . Merit Network 是 一 个 非 盈 利 互联 网 提供 
商 , 需要 一 种 创新 的 方式 来 管理 通过 他 们 的 网 络 dial-in access to various Points-Of-Presence 
(POPs). 


Livingston 企 业 提 供 的 解决 方案 有 一 个 中 心 用 户 存储 用 来 authentication. 这 个 可 以 被 许多 
RAS(Radio Access Station)(dial-in) 服 务 器 使 用 . Authorization 和 accounting 也 可 以 在 AAA 满 足 
的 条 件 下 完成 . 另外 一 个 Livingston 解 决 方案 的 关键 方面 是 包括 代理 来 支持 扩展 . 


RADIUS 协议 随后 在 1997 年 作为 RFC 发 布 , 一 些 修 改 被 提交 , 并 且 现 在 我 们 有 了 RFC2865 涵 盖 
了 RADIUS 协议 , 还 有 RFC2866 涵 盖 了 RADIUS accounting. 也 有 许多 额外 的 RFC 涵 盖 某 些 
RADIUS 方面 的 增强 . 让 RFC 工 作 从 任何 个 人 或 供应 商 到 在 他 们 的 设备 或 软件 上 实现 RADIUS 
协议 . 这 个 导致 RADIUS 的 广泛 采用 来 处 理 在 TCP/IP 网 络 上 的 AAA. 你 将 会 发 现 术语 RADIUS 既 
表示 RADIUS 协议 也 表示 完整 的 RADIUS C/S 系统 . 含义 应 该 根据 上 下 文 可 以 明确 . 


支持 RADIUS 协议 和 标准 成 为 NAS 供 应 商 的 事实 标准 需求 . RADIUS 在 广泛 的 地 方 被 使 用 , 从 拥 
有 百 万 级 用 户 的 蜂窝 移动 网 络 提 供 商 到 小 的 WISP 创 业 公 司 提 供 local neighborhood with 
Internet 到 实现 使 用 802.1x 来 围栏 他 们 的 网 路 的 NAC(Network Access Control) 企 业 网 络 . 
RADIUS 在 所 有 这 些 地 方 和 更 多 的 地 方 可 以 被 发 现 . 


ISP 和 网 络 管理 员 们 应 该 熟悉 RADIUS, 由 于 他 被 许多 控制 访问 TCP/IP 网 络 的 设备 使 用 . 下 面 是 
一 些 例子 : 


。 一 个 带 有 VPN 服 务 器 的 防火 墙 可 以 使 用 RADIUS. 

。 带 有 WPA-2 企 业 加 审 的 Wi-Fi AP 包含 RADIUS. 

e。 当 Alice 通 过 DSL 连 接 一 个 现 有 的 电信 设施 时 , 电信 设备 将 会 使 用 RADIUS 协议 来 联系 Isaac 
的 RADIUS 服 务 器 为 了 决定 她 是 否 可 以 通过 DSL( 代 理 ) 获 得 网 络 访问 权限 . 


下 一 节 将 会 总 结 在 RFC2865 上 指定 的 RADIUS 协 议 . 


RADIUS 协议 [RFC2865] 


这 一 节 在 技术 层面 探索 发 布 在 RFC2865 上 的 RADIUS 协议 . RADIUS accounting 是 排除 在 外 的 . 
这 个 是 发 布 在 RFC2866 并 且 有 个 关于 他 自己 的 章节 会 详细 探索 . 


RADIUS 协议 是 一 个 C/S 协 议 , 利用 UDP 来 通信 . 使 用 UDP 而 不 是 TCP 上 暗示 通信 不 是 严格 on 
state. 在 客户 端 和 服务 器 端的 一 个 典型 的 数据 流 有 一 个 来 自 客户 端的 单一 请 求 , 紧 接 着 一 个 来 
自 服务 器 端的 单一 回复 构成 . 这 让 RADIUS 成 为 一 个 非常 轻 量 级 的 协议 并 且 对 在 低 网 速 环境 下 
的 效 夫 有 帮助 . 


RS 


在 客户 端 和 服务 器 端 之 间 可 以 建立 成 功 的 通信 之 前 , 每 一 端 必须 定义 一 个 shared secret. 这 个 


是 用 来 authenticate 客 户 端 . 


一 个 NAS 作 为 一 个 RADIUS 客户 端 . 因此 当 你 读 到 关于 一 个 RADIUS 客户 端 , 他 表示 一 个 NAS. 


RADIUS 
(RADIUS Client) Server 


Shared Secret 





RADIUS 包 有 一 个 指定 的 格式 , 定义 在 RFC 里 面 . 在 一 个 RADIUS 包 中 , 两 个 关键 的 组 件 是 : 


e。 COde: 表示 包 的 类 型 . 
e attribute: 携带 RADIUS 使 用 的 必要 数据 . 


让 我 们 来 研究 一 下 RADIUS 数据 报 的 组 成 . 


数据 包 


了 解 一 个 RADIUS 数据 包 的 格式 将 会 大 大 帮助 理解 RADIUS 协议 . 让 我 们 更 细致 的 查看 RADIUS 
数据 包 . 我 们 将 会 看 一 个 简单 的 authentication 请 求 . 一 个 客户 端 发 送 一 个 Access-Request 包 到 
服务 器 . 服务 器 返回 一 个 Access-Accept 包 来 表示 成 功 . 


显示 在 这 里 的 RADIUS 数 据 包 只 是 一 个 UDP 数 据 包 的 payload. UDP 和 IP 协议 的 讨论 已 经 超出 
这 本 书 的 范围 了 . 


屏幕 截图 是 捕捉 在 RADIUS 客户 端 和 服务 器 端 之 间 的 流量 得 到 的 . 这 里 的 屏幕 截图 是 一 个 简单 
的 Authentication 请 求 发 送 到 一 个 RADIUS 服务 器 的 结果 ， 


下 面 的 截图 显示 来 自 RADIUS 客 户 端的 Access-Request 包 . 








Frame 1 (99 bytes on wire, 99 bytes captured) 
Ethernet II, Src: 60:60:060 060:60:60 (99:909:99:90:99:99)，Dst: 90:99:99 69: 
Internet Protocol, Src: 127.6.96.1 (127.9.6.1)，Dst: 127.6.6.1 (127.0.90.1) 
User Datagram Protocol, Src Port: 33475 (33475), Dst Port: radius (1812) 
Radius Protocol i 

Code: Access-Request (1) 

Packet identifier: 9x16 (22) 

Length: 57 

Authenticator: F7BCF35997153569CE87874B956AAB51 


Attribute Value Pairs 


-| AVP: l=7 t=User-Name(1): alice 
User-Name: alice 
-| AVP: L=18 t=User-Password(2): Encrypted 
User-Password: k#(7 \312N\279\229N\925\322N\226*+\936\249\334\275 
-| AVP: l=6 t=NAS-IP-Address(4): 127.9.9.1 
NAS-IP-Address: 127.9.9.1 (127.9.9.1) 
-AVP: l=6 t=NAS-Port(5): 9 
NAS-Port: 9 











下 面 的 截图 显示 RADIUS 服 务 器 返回 给 这 个 请 求 一 个 Access-Accept 数 据 包 . 





Frame 2 (62 bytes on wire, 62 bytes captured) 
Ethernet II, Src: 00:00:80 99:090:699 (80:00:00:60:090:69), Dst: 90:99:996 00: 
Internet Protocol, Src: 127.6.6.1 (127.6.6.1)，Dst: 127.6.6.1 (127.6.6.1) 
User Datagram Protocol, Src Port: radius (1812), Dst Port: 33475 (33475) 
Radius Protocol 

Code: Access-Accept (2) 


Packet identifier: QOx16 (22) 
Length: 29 
Authenticator: 71723CD1F8EDC25B4279788B3116D9C0 


[This is a response to a request in frame 1] 
[Time from request: 0.000199000 seconds] 




















让 我 们 来 研究 一 下 这 些 数据 包 . 


Code 


每 一 个 数据 包 由 一 个 code 来 识别 . 这 个 域 是 一 个 字 节 . 这 个 code 的 值 决定 这 个 包 的 某 些 特性 和 
需求 . 下 面 的 表格 可 以 被 用 作 一 个 索引 来 列 出 当前 RADIUS 数据 包 的 定义 的 code. 


RADIUS code(decimal) Packet type Sent by 


1 Access-Request NAS 

2 Access-Accept RADIUS server 
3 Access-Reject RADIUS server 
4 Accounting-Request NAS 

5 Accounting-Response RADIUS server 
11 Access-Challenge RADIUS server 
12 Status-Server(Experimental) 

13 Status-Client(Experimental) 

255 Reserved 


当 跟 RADIUS 工作 时 ,了解 这 些 code 是 有 利生 


Identifier 


个 包 的 第 二 个 字 节 包含 一 个 唯一 的 标识 符 . 他 是 由 客户 端 生 成 的 , 并 且 用 做 辅助 来 匹配 请 求 
os RADIUS 数据 包 是 通过 无 连接 的 UDP 传输 的 . er oe 己 的 算法 来 
提交 从 客户 端的 重 试 请 求 . 当 一 个 客户 端 重 发 一 个 请 求 给 服务 器 , 数据 包 的 identifier 将 会 保持 不 
变 . 服务 器 将 会 回复 请 求 通过 匹配 在 回复 数据 包 中 的 identifier. 


Length 


这 个 是 数据 包 的 第 3, 第 4 个 byte. 他 表示 一 直到 哪里 在 数据 包 中 是 有 用 的 数据 . 在 这 个 边界 之 外 
的 字 节 被 认为 是 填充 和 被 默默 地 忽略 . 


Authenticator 


这 个 域 占 用 2 个 byte, 根据 包 是 来 自 客户 端 还 是 服务 器 端 有 不 同 的 格式 . 他 也 依赖 包 的 类 型 , 例 
如 , Access-Request 或 者 Accounting-Request. 如 果 他 是 一 个 请 求 , 这 个 域 作为 一 个 Redquest 
Authenticator. 如 果 他 是 一 个 回复 , 这 个 域 作为 一 个 Response Authenticator. 


一 个 Request Authenticator 的 值 一 个 不 会 重复 的 随机 数 . Response Authenticator 的 值 是 在 回 
包 的 许多 域 的 MD5 哈 希 值 , 带 有 客户 端 和 服务 器 端 之 间 的 共享 密 钥 (shared secret). 


如 果 请 求 包含 User-Password attribute, 那么 这 个 attribute 的 值 会 被 加 密 . 这 个 加 密 的 值 通常 是 
把 共享 " 密 钥 (Shared secret) 结 合 authenticator 生 成 MD5 哈 希 值 , 然后 与 用 户 的 密码 进行 异 或 
生成 的 . 这 就 是 为 什么 共享 密 钥 (shared secret) 要 在 客户 端 和 服务 端 保持 一 致 , 为 了 解密 用 户 的 


密码 . 


Attributes 


RADIUS 包 的 其 余部 分 包含 0 或 者 更 多 attribute, 作为 AVP(Attribute Value Pairs). 这 些 AVPs 的 
结尾 是 由 包 的 length 域 指定 的 . 


Conclusion 


RADIUS 包 是 通过 UDP 传 输 . code 域 表示 RADIUS 包 的 类 型 . attribute 是 用 来 提供 指定 的 信息 用 
于 authentication, authorization 和 accounting. 例如 为 了 authenticate 一 个 用 户 , User-Name 和 
User-Password AVPs 将 会 和 一 些 其 他 的 attribute 一 起 被 包含 在 Access-Request 包 中 . 


AVPs 
AVPs 是 RADIUS 协议 的 苦力 . AVPs 可 以 被 分 类 为 check 或 者 reply attribute. check attribute 是 从 
客户 端 发 到 服务 器 端 . reply attribute 是 从 服务 器 端 发 到 客户 端 . 


attribute 作为 信息 的 载体 在 客户 端 和 服务 器 端 之 间 服 务 . 他 们 被 客户 端 使 用 来 提供 他 们 自身 的 
信息 和 连接 到 他 上 的 用 户 . 他 们 也 被 使 用 当 服 务 器 端 回复 客户 端 时 . 客户 端 然 后 可 以 使 用 这 个 
回复 来 控制 用 户 的 连接 基于 在 服务 器 端 回复 接收 到 的 AVPs. 


下 一 节 将 会 描述 一 个 AVP 的 格式 . 


Type 


AVP 的 第 一 个 byte 是 type 域 . 这 个 域 的 数值 是 和 一 个 attribute 名 称 联系 在 一 起 的 , 所 以 我 们 人 类 
也 可 以 理解 . 这 些 attribute 和 数值 的 关系 是 由 IANA(http://www.iana.org) 控 制 的 .attribute 的 名 称 
通常 是 有 描述 性 的 , 例如 User-Name(1), User-Password(2), 或 者 NAS-IP-Address(4). 


RADIUS 也 允许 扩展 协议 . attribute 类 型 26( 叫 做 Vendor-Specific) 允 许 这 样 做 . Vendor-Specific 
的 attribute 的 值 可 以 反 过 来 包含 由 一 个 vendor 管 理 的 Vendor Specific Attributes(VSAs). 


Length 


length 域 是 AVP 的 第 二 个 byte. 这 个 与 RADIUS 包 中 的 length 一 个 含义 , 用 来 表示 AVP 的 长 度 . 这 
个 方法 允许 AVPs 带 有 不 同 大 小 的 值 由 于 length 域 将 会 标记 AVP 的 结尾 . 


Value 


AVP 的 value 可 以 在 大 小 上 不 同 . 这 个 value 域 可 以 是 0 或 者 更 多 byte. 这 个 value 域 可 以 包含 一 下 
数据 类 型 中 的 一 个 : test, string, address, integer 或 者 time. 


Text 和 string 可 以 多 达 253byte. Address, integer 和 time 是 4 个 byte 大 小 . 


如 果 我 们 取出 一 个 请 求 包 中 的 NAS-IP-Address AVP, 我 们 会 看 到 长 度 是 6 byte. 一 个 byte 表 示 
类 型 , 一 个 byte 表 示 长 度 , 然后 4 个 byte 表 示 IP 地 址 , 总 共 6byte. 


下 一 节 将 会 讨论 Vendor-Specific Attribute, 是 标准 的 AVPs 的 扩展 . 


Vendor-Specific Attributes(VSAS) 


VSAs 允 许 vendor 来 定义 他 们 自己 的 attribute. attribute 定 义 的 格式 基本 上 是 普通 的 AVPs 带 有 额 
外 的 一 个 vendor 域 名 , VSAs 是 通过 AVP 类 型 26 发 送 . 这 表示 VSAs 是 AVPs 的 一 个 扩展 , 并 且 包 
含 在 AVPs 之 内 . 


这 让 RADIUS 非 常 灵活 , 并 且 允 许 一 个 vendor 来 创建 扩展 来 自 定 义 他 们 的 RADIUS 实 现 . 例如 
CoovaChilli 有 一 个 VSA attribute" 做 ChilliSpot-Max-Total-Octets. 当 CoovaChilli 客 户 端 从 
RADIUS 服务 器 接收 到 这 个 attribute 的 回复 时 , 他 使 用 这 个 值 来 限制 通过 captive portal 的 数据 . 


NAS 将 会 默默 地 忽略 任何 他 不 支持 的 VSAs. 一 些 vendors 发 布 了 他 们 的 VSAs, 但 是 这 不 是 需要 
的 . 其 他 仅仅 列 出 他 们 在 网 站 或 者 文档 里 . 这 个 然后 可 以 被 用 来 决定 他 们 设备 实现 RADIUS 的 能 
力 . 


Proxying 和 realms 


ADI Proxying 允 许 一 个 RADIUS 服务 器 来 作为 一 个 客户 端 连 接 到 另 一 
个 RADIUS 服务 器 如 这 这 个 最 终 形成 一 个 链 条 . 


在 proxying 上 的 讨论 也 包含 realms. Realms 是 名 字 用 来 组 织 用 户 和 形成 用 户 名 的 一 部 分 

用 户 名 区 分 于 realm name 带 有 一 个 指定 的 分 隔 符 . realm name 可 以 是 用 户 名 加 上 前 级 [mn 
缓 . 今天 的 流行 的 标准 使 用 玉米 作为 后 缓 , 并 且 用 @ 分 割 ,1 网 如 : alice@freeradius.org . 这 个 然 
而 只 是 一 个 约定 . realm 可 以 是 任何 名 字 , 分 隔 符 也 可 以 是 任何 符号 . windows 用 户 通常 用 一 个 
前 缓 指定 域名 , 用、 作为 分 隔 符 , 例如 : my_domainNalice . 


当 RADIUS 服 务 器 接收 到 一 个 请 求 带 有 用 户 名 包含 一 个 realm 时 , 他 决定 是 否 处 理 这 个 请 求 或 者 
转发 这 个 请 求 给 另 一 个 RADIUS 服务 器 被 设计 用 来 处 理 这 个 指定 的 realm. 这 将 会 需要 第 二 人 台 
RADIUS 服务 器 应 该 有 转发 RADIUS 服务 器 作为 一 个 客户 端 定义 , 并 且 他 们 也 有 一 个 共享 的 密 
铀 (shared secret). 


己 
它 


- 


RADIUS 服 务 


RADIUS 协 议 是 基于 C/S 架 构 . RADIUS 服务 器 将 会 监听 UDP 端口 1812 和 1813. 1812 端 口 是 用 
于 authentication. 这 将 会 包含 Access- 本 0 Access-Reject, 和 Access- 
Challenge 包 . 1813 端 口 用 于 accounting. 这 个 将 会 包含 Accounting-Request 和 Accounting- 
Response 包 . 


及 


一 个 客户 端 和 服务 器 需要 一 个 共享 的 密 钥 (shared secret) 为 了 加 密 和 解密 在 RADIUS 包 中 的 某 
些 域 . 


RADIUS 客户 端 


RADIUS 客 户 端 通常 提供 访问 TCP/IP 网 络 . 客户 端 作为 一 个 RADIUS 服务 器 和 一 个 想 要 网 络 权 
限 的 用 户 /设备 之 间 的 中 间 人 . 


RADIUS 的 proxying 功 能 也 允许 一 个 RADIUS 服 务 器 成 为 另 一 台 RADIUS 服 务 器 的 客户 端 , 将 会 
最 终 形成 一 个 链条 . 


来 自 RADIUS 服 务 器 的 反馈 不 仅仅 决定 是 否 一 个 用 户 允 许 访问 网 络 (authentication), 也 可 以 引 
导 客 户 端 来 强加 某 些 限制 在 用 户 上 (authorization). 限制 的 例子 有 在 session 上 的 一 个 时 间 限 制 
或 者 限制 连接 速度 . 


是 否 强 加 推荐 的 对 于 用 户 sessiion 的 调整 取决 于 客户 端 . 域名 RADIUS 协议 的 无 状态 的 本 质 , 对 
于 RADIUS 服 务 器 没有 方法 来 指导 是 否 客 户 单 在 执行 推荐 的 限制 . 


Accounting 定 义 在 一 个 单独 的 RFC. 下 一 节 将 会 总 结 在 RFC2866 里 面 的 RADIUS accounting. 


RADIUS accounting [RFC2866] 


这 一 节 探 索 RADIUS 协 议 的 accounting 功 能 . accounting 是 一 种 方法 来 跟踪 资源 的 使 用 和 通常 
用 于 计 费 . 


Operation 


RADIUS accounting 服 务 器 运行 在 1813 端 口 . 当 一 个 用 户 的 Session 开始 , NAS 发 送 一 个 
Accounting-Request 包 给 RADIUS 服务 器 . 这 个 包 必 须 包 含 某 些 AVPs. 他 是 在 成 功 
authentication 之 后 发 送 的 第 一 个 包 . 服务 器 端 将 会 确定 接收 通过 发 送 一 个 匹配 的 Accounting- 
Response 包 . 


在 整个 session, NAS 可 以 Gs 选 的 update 报 告 关 于 一 个 指定 用 户 的 时 间 和 数据 使 用 . 当 用 户 
的 session 结束 , NAS 通 知 服务 器 . 这 个 将 关闭 在 用 户 的 session 期 间 的 accounting 细 节 . 


FreeRADIUS 新 手 入 门 


RADIUS 客户 端的 功能 为 未 来 做 准备 比如 服务 器 下 线 . NAS 将 会 然后 依赖 他 是 如 何 配置 的 , 重 
试 或 者 联系 另 一 个 RADIUS 服务 器 


当 一 个 RADIUS 服务 器 作为 一 个 转发 代理 到 另 一 个 RADIUS 服务 器 时 , 他 将 会 作为 accounting 
数据 的 中 继 . 他 也 可 能 在 转发 前 本 地 记录 accounting 数 据 . 


包 格 式 


Accounting 包 括 RADIUS code 4(Accounting-Request) 和 code 5(Accounting-Response) 包 . 
Accounting 包 像 authentication 包 一 样 使 用 相同 的 RADIUS 协议 . 一 个 独特 的 accounting 包 的 特 
性 是 User-Password attribute 不 在 请 求 中 发 送 


看 下 面 的 Wireshark 输 出 , 显示 一 个 典型 的 accounting 交易 . 他 从 一 个 来 自 客户 端的 
Accounting-Request 开 始 . 


EE TES ee Tr 80: gb: of py 13: i 89:9b:6f), Dst: CadmusCo_ 
Internet Protocol, Src: 192.168.1.193 (192.168.1.103), Dst: 192.168.1.1 
User Datagram Protocol, Src Port: 44284 (44284), Dst Port: radius-acct 
Radius Protocol 

Code: Accounting-Request (4) 

Packet identifier: 9x44 (68) 

Length: 144 

Authenticator: D57C354DA8B7F8EC9E83005B390909B54 

[The response to this request is in frame 8] 

Attribute Value Pairs 
AVP: l=19 t=Acct-Session-Id(44): 4D2BB8AC-00000098 
AVP: l=6 t=Acct-Status-Type(40): Start(1) 
AVP: l=6 t=Acct-Authentic(45): RADIUS(1) 
AVP: l=7 t=User-Name(1): alice 
AVP: l=6 t=NAS-Port(5): 0 
AVP: l=31 t=Called-Station-Id(396): 60-02-6F-AA-AA-AA:My Wireless 
AVP: l=19 t=Calling-Station-Id(31): 690-1C-B3-AA-AA-AA 
AVP: l=6 t=NAS-Port-Type(61): Wireless-802.11(19) 

l=24 t=Connect-Info(77): CONNECT 48Mbps 892.11b 


+ 有 导 导 导 导 证 导 | 导 哇 
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区 户 端 一 个 Accounting-Response. 


CUD 
NN 
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Frame 8 (62 bytes on wire, 62 bytes captured ) 
Ethernet II, Src: CadmusCo 63:c2:83 (98:90:27:63:C2 
Internet Protocol, Src: 192.168.1.1906 (192.168.1.106 
User Datagram Protocol, Src Port: radius-acct (1813 
Radius Protocol 


Code: Accounting-Response (5) 


Packet identifier: Qx44 (68) 
Length: 29 
Authenticator: A72D9494B5D5E987B9577C20AA5D965A 


[This is a response to a request in frame 7] 
[Time from request: 6.9018010060 seconds] 





Accounting-Request 包 也 需要 包含 某 些 AVPs. 让 我 们 看 一 下 在 accounting 中 使 用 的 重要 的 
AVPs. 


Acct-Status-Type [Type40] 


这 个 包 表 示 用 户 或 者 NAS 的 状态 . 一 个 NAS 可 能 发 送 临时 的 更 新 关于 某 个 session 的 使 用 . 为 了 
做 这 个 , NAS 设 置 类 型 为 Interim-Update. 这 个 允许 我 们 来 近似 实时 地 跟踪 使 用 趋势 . 
RADIUS 服务 器 不 会 在 一 个 NAS 上 检查 . 如 果 一 个 NAS 已 经 通知 RADIUS 服务 器 关于 一 个 新 连 
接 的 用 户 (status 类 型 Start) 并 且 然 后 NAS 完 全 关闭 , RADIUS 服务 器 上 的 记录 将 会 仍然 指示 那个 
用 户 连 接 在 NAS 上 , 而 事实 上 没有 . 这 些 记 录 被 称 为 欺骗 条 目 (rogue entry). 为 了 减少 欺骗 条 目 ， 
最 好 让 NAS 发 送 一 个 Accounting-Off 紧 接着 一 个 Accounting-On 包 , 仅仅 在 boot-up 之 后 , 并 且 也 
发 送 一 个 Accounting-Off 包 在 关闭 之 前 . 这 个 动作 将 会 导致 RADIUS 关闭 所 有 打开 的 记录 对 于 任 
何 连接 到 指定 NAS 的 用 户 人 允许 一 个 干净 的 启动 . 


欺骗 条 目 尤 其 称 为 问题 当 你 限制 一 个 用 户 可 以 拥有 的 session 的 时 候 . 如 果 限 制 一 个 用 户 
session 的 组 件 利用 包含 其 骗 条 目的 数据 , 那么 计算 将 会 不 准确 . 


下 面 的 数字 到 类 型 表格 可 以 被 用 来 索引 可 能 的 状态 值 . 


Decimal value Status type 
1 Start 
Stop 


Interim-Update 


2 
3 
7 Accounting-On 
8 Accounting-Off 
9 


-14 Reserved fortunnel accounting 


15 Reserved for failed 


尽管 Acct-Status-Type AVP 不 是 必须 的 , 他 总 是 被 包含 . 


Acct-Input-Octets [Type42] 


这 个 表示 在 session 期 间接 收 到 的 byte 并 且 带 有 Acct-Status-Type 有 一 个 值 Interim-Update 或 者 
Stop. 


注意 值 的 限制 .4 个 byte 限 制 他 到 4294967296. 大 多 数 现代 RADIUS 实 现 已 经 满足 这 个 需要 . 


Acct-Output-Octets [Type43] 

这 个 表示 在 session 期 间 发 送 的 byte, 并 且 带 有 Acct-Status-Type, 值 为 Interim-Update 或 者 Stop. 
注意 值 的 限制 .4 个 byte 限 制 他 为 4294967296. 大 多 数 现代 RADIUS 实 现 已 经 满足 这 个 需要 . 
Acct-Session-ld [Type44] 

对 于 所 有 的 Accounting-Request 包 的 规定 动作 , 这 个 是 一 个 唯一 的 值 用 来 匹配 Start, Interim 和 


Stop 记 录 . 所 有 的 一 个 session 的 Start, Interm, 和 Stop 记 录 应 该 有 对 于 Acct-Session-ld 相 同 的 
值 . 


Acct-Session-Time [Type46] 


这 个 名 字 是 自 解释 的 . 以 秒 为 时 间 表 示 session 的 长 度 , 并 且 带 有 Acct-Status-Type, 值 为 
Interim-Update 或 者 Stop. 


Acct-Terminate-Cause [Type49] 


这 个 伴随 着 一 个 Acct-Status-Type AVP 他 的 值 设置 为 Stop. 这 个 AVP 的 值 为 十 进 制 数 . 他 与 
Acct-Status-Type 的 行为 类 似 , 用 一 个 指定 的 数值 对 应 解析 一 个 终止 原因 . 


Conclusion 


这 个 带 给 我 们 RADIUS accounting 的 结束 . 下 一 节 我 们 将 看 茶 些 RFC, 添加 功能 和 增强 给 
RFC2865 和 RFC2866 的 RADIUS 定 义 . 


RADIUS 扩展 
在 初始 的 RFC 定 义 了 通常 的 RADIUS 和 RADIUS accounting, 许多 扩展 被 建议 来 扩展 RADIUS 
的 使 用 或 者 提高 一 些 弱点 . 


也 有 一 个 改进 的 RADIUS 协 议 叫 做 Diameter( 一 个 文字 游戏 -- 两 倍 好 于 RADIUS). 然后 Diameter 
的 接受 非常 缓慢 , RADIUS 仍然 保持 事实 的 标准 对 于 可 预见 的 未 来 . 一 个 主要 的 原因 可 能 是 事实 
上 许多 Diameter 的 增强 已 经 被 许多 RADIUS 的 扩展 实现 . 例如 , RadSec 协 议 通过 TCP 和 TLS 传 
输 RADIUS 协 议 . 这 个 让 RADIUS 再 漫游 环境 更 容易 扩展 . 


尽管 有 许多 , 我 们 将 只 研究 两 个 可 能 被 使 用 的 扩展 . 


Dynamic Authorization extension [RFCS5176] 


这 个 扩展 帮助 创建 从 RADIUS 服务 器 到 NAS 的 反馈 回环 . 这 个 实际 上 交换 了 客户 端 和 服务 器 端 
之 间 的 角色 .RADIUS 服务 器 成 为 NAS 的 一 个 客户 端 


动态 authorization 允 许 RADIUS 服 务 器 来 通知 NAS 关 于 已 经 做 的 改变 给 在 NAS 上 一 个 用 户 的 现 
有 session. 有 2 个 这 种 扩展 的 流行 应 用 . 
Disconnect-Message [DM] 


也 叫做 一 个 POD(Packet Of Disconnect), 这 个 用 来 断 开 一 个 现 有 用 户 的 session. RADIUS 服务 
器 发 送 断 开 连接 请 求 , 并 且 NAS 必 须 回复 无 论断 开 是 否 成 功 . 


Change-of-Authorizaion Message [CoA] 


这 个 消息 提供 数据 来 改变 一 个 先 有 用 户 session 的 authorization. 例如 , 我 们 现在 可 以 动态 变 
每 个 session 的 带宽 限制 . 这 让 我 们 可 以 当 互 联网 连接 下 降 时 可 以 增加 每 个 session 的 带宽 . 
之 ,也 可 以 . 


MikroTik RouterOS 和 包括 这 个 功能 在 一 些 使 用 RADIUS 的 服务 上 . 


下 表 列 出 包含 的 RADIUS 包 的 code 和 名 称 


RADIUS code(decimal) Packet type Sent by 
40 Disconnect-Request RADIUS server 
41 Disconnect-ACK NAS 
42 Disconnect-NAK NAS 
43 CoA-Request RADIUS server 
44 CoA-ACK NAS 
45 CoA-NAK NAS 


RADIUS support for EAP [RFC3579] 
EAP 代 表 Extensible Authentication Protocol. 他 大 多 用 于 以 太 网 交换 机 和 Wi-Fi Access Point 
的 安全 . 


EAP 支 持 一 个 外 部 authorization 服 务 器 的 使 用 . RADIUS 可 以 是 这 样 的 一 个 服务 器 . EAP 将 会 使 
用 RADIUS 协议 来 wrap EAP 数 据 在 AVP 内 部 为 了 authenticate 一 个 连接 . 


这 本 书 有 个 专门 的 章节 关于 EAP, 由 于 他 是 Wi-Fi 企 业 安全 的 如 此 一 个 重要 的 部 分 . 


在 下 一 节 , 将 会 研究 FreeRADIUS 项 目 . FreeRADIUS 是 一 种 RADIUS 协议 的 实现 , 并 且 他 的 许 
多 扩展 包括 2 个 在 这 里 提 到 的 . 


FreeRADIUS 是 一 个 开源 项 目 提 供 一 个 非常 功能 丰富 的 RADIUS 协议 的 实现 带 有 他 的 许多 增强 . 
当 人 们 提 到 FreeRADIUS 的 时 候 , 他 们 通常 讨论 服务 器 软件 . 


为 赤 


FreeRADIUS 的 开发 在 1999 年 开始 , 在 原始 的 Livingston RADIUS 服 务 器 的 未 来 变 得 不 确定 的 
时 候 . 这 需要 创建 一 个 新 的 RADIUS 服务 器 , 开源 并 且 和 包含 活跃 的 社区 . 


FreeRADIUS 成 功 的 获得 一 个 可 靠 的 名 声 , 并 且 能 够 打败 大 多 数 商 业 竞 争 者 . 座右铭 "世界 上 最 
流行 的 RADIUS 服 务 器 "已 经 没有 可 挑战 德尔 了 , 使 得 他 成 为 一 个 有 效 的 陈述 . 


特色 


FreeRADIUS 有 许多 特色 , 促进 了 他 的 流行 . 让 我 们 看 一 下 : 


开源 : 不 仅仅 是 免费 . 你 可 以 自由 的 适 配 , 修改 , 扩展 和 需要 的 修复 . FreeRADIUS 在 GPL 协 
议 下 发 布 . 

模块 化 : FreeRADIUS 包含 许 多 模块 . 你 可 以 创建 的 模块 给 FreeRADIUS 使 用 . 模块 包括 
LDAP 集 成 或 者 SQL 后 端 支 持 . 也 有 Perl 和 Python 模块 , 让 你 在 FreeRADIUS 上 使 用 这 两 种 
强大 的 脚本 语言 . 

被 大 量 使 用 : 一 个 人 不 会 因为 选择 了 FreeRADIUS 而 被 解雇 . 很 容易 从 ISP 和 在 部 署 的 
FreeRADIUS 上 有 大 量 用 户 的 大 公司 得 到 帮助 . FreeRADIUS 执 行 了 一 个 调查 来 决定 
FreeRADIUS 的 使 用 和 部 署 大 小 . 调查 的 详细 结果 可 以 从 他 们 的 请 求 中 得 到 . 

活跃 的 社区 : 因为 FreeRaDIUS 有 这 样 大 的 用 户 基础 ,很 大 的 机 会 有 其 他 人 跟 你 遇 到 同样 的 
问题 . FreeRADIUS 有 活跃 的 邮件 列表 带 有 可 搜索 的 文档 . 

可 得 到 的 信息 : 信息 可 能 不 在 一 个 地 方 , 但 是 可 以 得 到 , 只 是 需要 被 发 现 . 有 许多 的 wiki 包含 
很 多 细节 . 也 有 许多 man page 和 配置 文件 , 写 的 很 详细 和 容易 follow. 

活跃 地 开发 : FreeRADIUS 遵 循 "release early, release often" 的 座右铭 . RADIUS 协议 的 新 
进展 通常 最 先 在 FreeRADIUS 中 支持 . 你 可 以 期 待 每 年 有 一 个 或 者 更 多 的 FreeRADIUS 
release. 

商业 支持 : FreeRADIUS 的 核心 成 员 提 供 商业 支持 . 在 FreeRADIUS 有 许多 知识 丰富 的 人 可 
以 提供 付费 支持 . Network RADIUS SARL 是 一 个 好 的 网 站 带 有 更 多 的 关于 付费 支持 的 细 
节 : http://networkradius.com 

可 用 性 : FreeRADIUS 可 以 被 许多 操作 系统 使 用 . 所 有 的 流行 的 linux 发 行 版 包括 他 作为 他 
们 的 可 得 到 的 包 . 他 甚至 支持 windows. FreeRADIUS 网 站 上 有 二 进 制 下 载 链接 . 


缺点 


没有 软件 是 完美 的 . FreeRADIUS 也 不 例外 . 这 有 一 些 他 的 缺点 : 


。 复杂 : 这 是 唯一 丨 的 缺点 . FreeRADIUS 提 供 一 个 包含 一 切 的 软件 , 带 有 许多 配置 选项 . 如 


果 你 不 小 心 , 你 的 系统 会 出 问题 . 
。 漏洞 : 过 去 一 些 漏洞 被 报道 , 但 是 他 们 从 那 时 已 经 被 修复 . 你 可 以 了 解 每 个 FreeRADIUS 的 


漏洞 , 从 他 们 的 官网 . 


欧 争 者 


当 FreeRADIUS 陈 述 他 是 最 流行 的 服务 器 , 他 和 谁 是 竞争 者 呢 ? 有 许多 竞争 RADIUS 服 务 器 和 
竞争 技术 . 竞争 服务 器 包括 Cisco's ACS, Microsoft's IAS, 和 Radiator. 竞争 AAA 技术 包括 
Diameter, TACACS+(CISCO 专 有 , 尽管 也 被 其 他 的 企业 网 络 设 备 支 持 ), 和 LDAP(LDAP 只 支持 


authentication). 


这 一 章 是 引言 和 我 们 要 将 的 基础 . 作为 讨论 的 重点 , 确定 知道 下 面 的 事实 . 
名 称 代表 简称 


有 | 全 对 于 访问 和 使 用 的 合适 控制 的 必要 的 三 个 组 件 
Authorization, Accounting 


例如 一 个 控制 网 络 访问 设备 , 一 个 VPN 服 务 器 , 作 
为 一 个 RADIUS 客户 端 . 


在 RADIUS 包 中 一 个 3 域 的 组 件 来 包含 一 个 特殊 的 
域 和 他 的 数据 


VSA Vendor-Specific Attributes 由 指定 vendor 管 理 的 扩展 的 AVP 


NAS Network Access Server 


AVP Attribute Value Pair 


e。 AAA 是 一 个 安全 架构 模型 . 

。 RADIUS 是 AAA 的 一 种 特定 实现 . 

。 FreeRADIUS 是 RADIUS 的 实用 应 用 . 

。 因此 我 们 有 AAA -> RADIUS -> FreeRADIUS 

e。 RADIUS 是 关于 中 心 控制 和 NAS vendor 支 持 的 事实 标准 

e。 RADIUS 是 一 个 C/S 协议 . 他 使 用 UDP 监听 在 1812 端 口 用 于 authentication, 在 1813 端 口 
用 于 accounting 请 求 . 

e。 RADIUS 数据 包 有 code 域 , 指定 RADIUS 包 的 类 型 . 

e。 RADIUS 数据 包 有 0 或 者 更 多 的 AVPSs, 包含 用 在 RADIUS 中 的 数据 . 

。 FreeRADIUS 实 现 了 RADIUS 协议 , 还 有 在 RFC 中 的 许多 扩展 . 

e。 FreeRADIUS 是 一 个 非常 流行 的 , 广泛 使 用 的 , 非常 灵活 的 RADIUS 服务 器 . 


这 一 章 是 FreeRADIUS 的 开始 . 主要 课程 从 下 一 章 开 始 , 我 们 将 安装 和 开始 使 用 FreeRADIUS. 


果 堂 作业 - RADIUS 知识 


| 


解释 NAS device 术 语 . 

什么 是 一 个 session 的 起 点 和 终点 ? 

RADIUS 使 用 哪 种 协议 和 端口 ? 

RADIUS 客户 端 和 服务 器 端 需要 成 功 的 通信 ? 

当 authenticate 一 个 用 户 时 , RADIUS 客户 端 会 发 送 什么 ? 

谁 初 始 化 一 个 Disconnect Request 包 并 且 谁 接受 他 ? 

命名 AVP 的 三 个 组 件 ? 

Alice 使 用 用 户 名 alice@freeradius.org 连接 到 一 个 网 络 . Alice 术 语 的 realm 的 名 称 是 什么 ? 


maODOADmDnND 一 


有 两 种 方法 安装 FreeRADIUS 到 一 个 Linux 服 务 器 . 你 已 经 简单 低 安 装 预 编译 的 包 或 者 从 源码 编 
译 安装 . 这 一 章 会 教 你 这 两 种 方法 . 


在 这 一 章 我 们 将 会 


。 从 预 编译 包 安 装 FreeRADIUS. 

e 从 源码 编译 和 安装 FreeRADIUS. 

。 调查 FreeRADIUS 安 装 了 哪些 程序 . 
e 确保 FreeRADIUS 正 确 地 运行 


有 许多 linux 发 行 版 可 以 选择 . 我 们 将 会 选择 三 种 流行 的 发 行 版 来 尽 可 能 的 包括 所 有 听众 来 避免 
发 行 版 战争 . 

基于 他 们 使 用 系统 的 包 管 理 系统 , 许多 linux 发 行 版 分 成 2 组 . 一 组 使 用 RPM(Red Hat Package 
Manager), 而 另 一 组 使 用 dpkg 包 管理 器 . 我 们 选择 两 种 基于 RPM 的 发 行 版 , CentOS 和 SUSE， 
在 企业 中 流行 . 取代 使 用 Debian 作 为 一 个 基于 dpkg 的 发 行 版 , 我 们 选择 Ubuntu 因为 他 在 初学 者 
中 广泛 流行 .由 于 Ubuntu 派生 于 Debian, 讨论 Ubuntu 的 章节 也 适用 于 Debian 不 需要 大 的 修改 . 


这 个 章节 的 后 面 步 又 需要 安装 


Distribution Version 
CentOS 5.5 
SUSE SLES 11 
Ubuntu 10.4 


一 个 典型 的 可 以 root 访 问 的 服务 器 是 一 个 基础 . 使 用 这 个 章节 作为 一 个 向 导 , 如 果 你 有 一 个 带 有 
不 同 于 那个 指定 版 本 的 发 行 版 . 


如 今 的 Linux 发 行 版 有 许多 预 编译 软件 , 可 以 容易 地 安装 . 一 个 单一 的 命令 可 以 使 用 来 从 一 个 软 
件 仓 库 来 安装 FreeRADIUS. 这 个 会 解决 依赖 和 安装 所 有 需要 的 包 为 了 展示 一 个 工作 的 系统 . 


关于 软件 包 管 理 系统 : http://en.wikipedia.org/wiki/Package_management_system 


3 种 发 行 版 的 默认 安装 将 会 包含 软件 仓库 包含 FreeRADIUS 包 . 


预 编 译 的 FreeRADIUS 包 可 以 通过 下 面 的 命令 在 相应 发 行 版 进行 安装 . 


CentOS: yum install freeradius2 freeradius2-utils 


SUSE: zypper in freeradius-server freeradius-server-utils freeradius-server-doc 


Ubuntu: sudo apt-get install freeradius 


优点 


。 自动 解决 依赖 . 这 个 包括 考虑 到 未 来 的 安全 更 新 , 跟踪 所 有 可 选 的 包 , 确保 正确 的 版 本 依 
。 linux distributor 的 QA 测试 确保 软件 正常 工作 . 

e 更 新 会 被 linux distributor 照 顾 好 . 

e 发 行 版 相关 的 tweak 已 经 执行 


使 用 预 编译 包 的 一 个 妥协 是 你 不 会 用 到 最 新 的 FreeRADIUS 包 到 你 的 机 器 上 


额外 的 包 


FreeRADIUS 是 一 个 功能 丰富 的 软件 . 不 同 的 发 行 版 展示 他 的 FreeRADIUS 不 同 地 , 通过 分 散 到 
多 个 不 同 的 包 里 
CentOS 和 Ubuntu 包含 某 些 FreeRADIUS 服 务 器 的 包 作 为 可 选 包 . 这 使 得 基本 的 服务 器 安装 包 


保持 疲 的 . i 器 模块 包 将 会 也 安装 需要 的 依赖 . 这 表示 , 例如 , 当 你 安装 
freeradius-mysql 包 的 时 候 , 所 有 需要 的 MySQL 库 将 作为 依赖 安装 . 


SUSE 通 过 功能 划分 他 们 的 包 . 你 可 以 发 现 客户 端 和 服务 器 端 都 有 他 各 自 的 包 集 合 . SUSE 也 
有 FreeRADIUS 的 utilities 和 文档 的 包 


可 得 到 的 包 


这 一 节 列 出 每 种 发 行 版 的 可 得 到 的 预 编译 的 FreeRADIUS 包 . 加 粗 的 名 字 是 推荐 作为 基本 的 
FreeRADIUS 安 装 的 . 


CentOS 


包 名 简短 描述 


freeradius2 高 度 可 配置 的 RADIUS 服务 器 
freeradius2-krb5 FreeRADIUS 的 Kerberos 5 支持 
freeradius2-ldap FreeRADIUS 的 LDAP 支 持 
freeradius2-mysq| FreeRADIUS 的 MySQL 支 持 
freeradius2-perl FreeRADIUS 的 Perl 支 持 
freeradius2-postgresql FreeRADIUS 的 PostgreSQL 支 持 
freeradius2-python FreeRADIUS 的 python 支 持 
freeradius2-unixODBC FreeRADIUS 的 Unix ODBC 支 持 
freeradius2-utils FreeRADIUS 的 utilities 
SUSE 

包 名 简短 描述 
freeradius-client FreeRADIUS 的 客户 端 软 件 
freeradius-client-libs FreeRADIUS 客 户 端 的 共享 库 
freeradius-server Highly configurable RADIUS server 
freeradius-server-dialupadmin Web management for FreeRADIUS 
freeradius-server-doc FreeRADIUS 的 文档 
freeradius-server-libs FreeRADIUS 的 共享 库 
freeradius-server-utils FreeRADIUS 的 客户 端 


注意 , SUSE 提 供 的 freeradius-client 包 是 被 软件 开发 者 使 用 来 利用 RADIUS 来 AAA. 客户 端 
程序 像 radtest 是 包含 在 freeradius-server-utils 包 中 . 


Ubuntu 


包 名 | 简短 描述 freeradius | FreeRADIUS 的 服务 器 端 包 freeradius-dbg | 包含 FreeRADIUS 包 
的 分 离 的 调试 符号 libfreeradius2 | FreeRADIUS 的 共享 库 freeradius-ldap | FreeRADIUS 服 
务 器 的 LDAP 模 块 freeradius-common | FreeRADIUS 的 普通 文件 , 包括 字典 和 man pages 
freeradius-iodbc | FreeRADIUS 服 务 器 的 iODBC 模 块 freeradius-krb5 | FreeRADIUS 服 务 器 的 
Kerberos 模 块 freeradius-utils | FreeRADIUS 的 客户 端 程序 , 包括 程序 像 radclient, radtest, 
smbencrypt, radsniff, 和 radzap freeradius-postgresq| | FreeRADIUS 服 务 器 的 PostgreSQL 模 
块 freeradius-mysql | FreeRADIUS 服 务 器 的 MySQL 模 块 freeradius-dialupadin | web 管 理 插件 
libfreeradius-dev | FreeRADIUS 的 共享 开发 库 


特殊 的 考虑 
日 版 本 的 Ubuntu 的 预 编 译 包 没 有 编译 进去 SSL 库 支持 . 当 安 装 FreeRADIUS 到 这 些 版 本 的 时 候 ， 
如 果 你 需要 在 一 些 EAP 扩 展 上 支持 SSL, 你 需要 自己 编译 . 


SUSE 也 提供 yast -i 命令 来 安装 软件 . 但 使 用 zypper 替代 , 因为 当 安 装 软件 和 依赖 时 , 他 有 
更 好 的 决策 能 


在 CentOS 中 FreeRADIUS 包 的 名 称 是 freeradius2 而 不 是 freeradius . 这 是 因为 最 开始 在 
CentOS 5 上 支持 的 FreeRADIUS 版 本 是 1.1.3. FreeRADIUS 的 1.x 和 2.x 之 间 的 配置 文件 有 改变 ， 
所 以 需要 在 名 称 上 有 所 改变 . 


不 是 所 有 的 FreeRADIUS 模 块 有 他 们 在 Ubuntu 或 CentOS 上 匹配 的 包 . 没有 匹配 的 包 的 模块 就 
简单 低 包 含 在 FreeRADIUS 的 主 包 上 


留意 防火 墙 


CentOS 和 SUSE 默 认 安 装 一 个 活跃 的 防火 墙 . 请 确保 UDP 端口 1812 和 1813 是 对 外 开放 的 . 


CentOS 


有 一 个 程序 来 配置 CentOS 上 的 防火 墙 , 叫做 system-config-securitylevel-tui , 需要 root 来 运 
行 . 这 个 会 局 动 一 个 基于 鼠标 的 程序 . 选择 customize 选项 然后 按 下 Enter . Allow incoming | 
other Ports 列表 应 该 包括 1812:udp 1813:udp . 选择 ok 来 返回 到 主 界面 , 然后 再 选择 ok , 来 
提交 修改 . 


确认 端口 是 开放 的 通过 下 面 命令 的 输出 : 


# iptables -L -n | grep 181* 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1812 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1813 


不 推荐 你 用 下 面 的 命令 来 关闭 防火 墙 . 


# /etc/init.d/iptables save 
# /etc/init.d/iptables stop 
# /sbin/chkconfig iptables off 


为 了 确认 是 否 防火 墙 是 关闭 的 , 使 用 下 面 的 命令 


# iptables -L -n 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


SUSE 


在 SUSE 上 配置 防火 墙 可 能 有 点 a catch-22 situation 由 于 默认 的 防火 墙 是 如 此 安全 , 你 甚至 不 
能 用 SSH 进 入 系统 ! 进入 SLES 服 务 器 然后 开始 YasT . 选择 Security and Users | Firewall . 选 
择 左边 的 Allowed Services . 我 建议 你 添加 secure Shell Server 到 External Zone . 点 

击 Advanced 按钮 , 然后 添加 1812, 1813 到 UpP Ports . 点 击 ok . 点 击 Next 和 Finish 来 提交 
这 些 修 改 . 


通过 下 面 的 命令 来 确认 端口 是 开放 的 . 


# iptables -L -n | grep 181 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1812 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1813 


不 推荐 用 下 面 的 方法 关闭 防火 墙 . 


1. 使 用 YasT 然后 选择 Security and Users | Firewall . 

2. 选择 左边 的 Start-Up ， 选择 右边 的 Disable Firewall Automatic Starting . 也 选择 Stop 
Firewall Now ， 然后 按 Enter 键 来 停止 当前 运行 的 防火 墙 . 

3， 上 点击 Next 和 Finish 来 提交 修改 . 


通过 下 面 的 命令 来 确认 防火 墙 现在 是 关闭 的 . 


# iptables -L -n 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


从 源码 安装 软件 是 configure，make，make install 的 同义词 . 我 们 将 使 用 发 型 吧 的 包 管 理 器 来 
从 源码 编译 新 的 软件 . 


下 一 节 是 可 选 的 内 容 如 果 你 已 经 安装 了 FreeRADIUS 的 预 编译 的 包 . 


从 源码 编译 


有 时 有 需要 来 安装 最 新 版 本 的 软件 或 者 包含 一 些 预 编译 软件 没有 支持 的 模块 . 这 需要 从 源码 编 
译 软 件 . 大 多 数 开源 软件 包 是 作为 一 个 TAR 压 缩 包 发 布 的 . TAR 实际 上 可 以 指 用 于 创建 TAR 文件 
的 程序 (名 称 是 tape archive 的 简写 ) 或 者 合成 文件 的 文件 格式 . 一 个 TAR 文件 也 通常 是 压缩 的 来 
减少 体积 . 文件 名 将 会 表示 压缩 的 格式 . 一 个 文件 名 以 ‘tgz 或 者 .tar.gz 结尾 使 用 gzip . 一 
个 文件 名 以 .tbz ，.tb2 ,或 者 .tar.bz2 结尾 使 用 bzip2 压缩 . 为 了 编译 软件 我 们 解压 这 个 文 
件 ， 然后 执行 命令 configure ，make 和 make install 在 解压 的 文件 夹 内 . 


然而 有 更 好 的 方式 利用 发 行 版 的 包 管理 系统 来 编译 软件 . 不 是 所 有 的 TAR 文件 帮助 这 个 容易 实 
现 , 但 是 FreeRADIUS 是 这 样 一 个 成 熟 的 项 目 , 允许 在 任意 这 3 个 发 行 版 上 从 源码 编译 软件 . 


下 面 是 一 些 从 源码 编译 包 的 优势 


安装 , 升级 , 卸载 或 发 布 软件 . 
检查 那个 版 本 的 软件 是 安装 的 . 
。 能 够 看 到 哪些 文件 被 安装 , 哪些 发 行 版 相关 的 修改 . 


既然 你 已 经 确定 用 这 种 方式 编译 包 , 我 们 将 会 为 每 个 发 行 版 来 做 他 . 


创建 编译 环境 


不 用 生产 机 器 来 开发 是 一 个 好 的 实践 . 这 包括 从 源码 编译 软件 . 创建 一 个 你 可 以 编译 包 的 虚拟 
机 . 测试 之 后 简单 低 找 贝 和 安装 新 的 包 到 一 个 生产 机 器 . 


CentOS 


CentOS 是 一 个 RedHat 风 格 的 发 行 版 . 他 是 RHEL 的 社区 版 . CentOS 不 是 有 RedHat 直 接 赞助 像 
Fedora 项 目 那 样 . 尽管 RedHat 的 品牌 和 logo 从 CentOS 移 除 , 但 是 它 跟 RHEL 是 一 样 的 , 由 于 相 
同 的 源 代码 用 来 生成 发 行 版 . 


CentOS 使 用 RPM 包 管理 器 来 管理 软件 , 安装 的 软件 包 叫 做 RPM. 


编译 CentOS RPMs 


一 节 使 用 从 FreeRADIUS 的 wiki 页 面 的 推荐 和 指令 来 创建 最 新 的 RPM 到 CentOS 上 . 


[ee to_build_an_SRPM 





你 必须 用 root 用 户 来 执行 大 多 数 命令 . 一 旦 完成 , 遵循 这 些 步骤 . 


1.， 安装 rpm-build 包 ， 这 个 创建 的 编译 包 需 要 的 目录 结构 . yun install rpm-build 


10. 


允许 普通 用 户 对 这 个 目 录 有 写 和 执行 权限 . find /usr/src/redhat -type d | xargs chmod 

a+WX 

Fedora 上 可 以 得 到 FreeRADIUS 的 最 新 版 本 . 我 们 可 以 使 用 这 个 版 本 来 在 CentOS 上 编译 

RPM. 从 下 面 的 URL 上 下 载 RPM 源码 . 

https://kojipkgs.fedoraproject.org//packages/freeradius/2.2.5/2.fc19/src/freeradius-2.2.5- 

2.fc19.src.rpm RPM 的 源码 包 以 .src.rpm 结尾 . 

安装 这 个 源码 包 . 例如 使 用 下 面 的 命令 . 你 的 源码 包 的 命名 可 能 不 同 . rpm -ihv --nomd5 

freeradius-2.2.5-2.fc19.src,rpm . 

使 用 下 面 的 命令 来 决定 需要 的 依赖 . 这 些 依赖 必须 在 包 边 以 前 被 安装 . rpmbuild -ba 

/usr/src/redhat/SPECS/freeradius.spec 

使 用 yum 来 安装 这 些 依赖 . 在 我 的 系统 上 时 下 面 这 些 . yum install autoconf gdbm-devel 

libtool libtool-ltdl-devel openssl-devel pam-devel zlib-devel net-snmp-devel net-snmp- 

utils readline-devel libpcap-devel openldap-devel krb5-devel python-devel mysql-devel 

postgresql-devel unixODBC-devel 

安装 一 个 编译 器 . yum install gcc 

a rpmbuild 命令 . 使 用 普通 用 户 来 做 , 使 用 tee 来 输出 到 一 个 文件 来 为 了 将 来 的 研 
这 将 会 启动 编译 过 程 , 需要 花费 一 些 时 间 . rpmbuild -ba 

/usr/src/redhat/SPECS/freeradius.spec | tee /tmp/freeradius_ build _ out.txt . 

当 它 成 功 完成 , 将 会 有 一 个 指示 RPM 已 经 写 入 . 新 安装 的 RPM 将 会 得 到 下 面 这 行 ， wrote: 

/usr/src/redhat/RPMS/i386/freeradius-debuginfo-2.1.10-1.i386.rpm 

安装 新 编译 的 RPM. 下 面 的 命令 将 会 导致 一 个 基本 的 FreeRADIUS 安 装 . yum --nogpgcheck 

install /usr/src/redhat/RPMS/i386/freeradius-2.1.10-1.i386.rpm 

/usr/src/redhat/RPMS/i386/freeradius-utils-2.1.10-1.1i386.rpm 如 果 你 得 到 消 息 通 知 

你 No package <path and package name> available ,确认 你 指定 了 正确 的 版 本 号 . 


发 生 了 什么 3 


我 们 刚刚 创建 和 安装 了 CentOS 上 最 新 的 RPM. 下 面 是 一 些 重点 的 分 解 . 


安装 rpm-build 


rpm-build 包 包 含 脚 本 和 可 执行 程序 用 来 编译 RPM 包 . 他 包括 rpmbuild 程序 , 我 们 将 用 来 创建 
RPM. 


RPM 包 的 源码 . 


我 们 使 用 FreeRADIUS wiki 上 推荐 的 Fedora 的 RPM 包 源码 . 这 导致 一 个 更 加 稳定 和 更 好 的 包工 
作 集 合 , 已 经 包含 了 发 行 版 相关 的 tweak 和 修改 . 


包 名 


注释 包 名 是 freeradius 而 不 是 freeradius2 . 这 是 因为 所 有 的 在 Fedora 里 面 的 包 已 经 是 2.X. 


从 FreeRADIUS 1.x 版 本 升级 在 Fedora 系 统 不 像 CentOS 那 样 没有 问题 . 


更 新 一 个 已 经 存在 的 安装 


如 果 你 已 经 有 FreeRADIUS 安 装 了 , 他 可 能 包含 一 些 模块 你 需要 包含 在 更 新 的 时 候 . 
e 决定 FreeRADIUS 的 版 本 和 当前 安装 的 包 通 过 使 用 下 面 的 命令 . yun list freeradius\* 


e 当 你 已 经 作为 预 编译 包 安 装 了 freeradius2 ，yum 将 会 抱怨 , 当 尝试 安装 新 
的 freeradius 包 ， 因为 名 字 冲 突 . 你 可 以 和 郑 载 freeradius2 包 , 通过 下 面 的 命令 . yum 


erase freeradius\* 


e。 上 面 假定 你 没有 做 任何 配置 修改 到 安装 , 你 想 要 保留 


CentOS 


CentOS 是 一 个 RedHat 风 格 的 发 行 版 . 他 是 RHEL 的 社区 版 . CentOS 不 是 有 RedHat 直 接 赞助 像 
Fedora 项 目 那 样 . 尽管 RedHat 的 品牌 和 logo 从 CentOS 移 除 , 但 是 它 跟 RHEL 是 一 样 的 , 由 于 相 
同 的 源 代码 用 来 生成 发 行 版 . 


CentOS 使 用 RPM 包 管理 器 来 管理 软件 , 安装 的 软件 包 叫 做 RPM. 


编译 CentOS RPMs 


一 节 使 用 从 FreeRADIUS 的 wiki 页 面 的 推荐 和 指令 来 创建 最 新 的 RPM 到 CentOS 上 . 
http://wiki.freeradius.org/Red Hat FAQ#How_ to _build_an_SRPM 





你 必须 用 root 用 户 来 执行 大 多 数 命令 . 一 旦 完成 , 遵循 这 些 步骤 . 


1， 安装 rpm-build 包 ， 这 个 创建 的 编译 包 需 要 的 目录 结构 . yun install rpm-build 

2. 允许 普通 用 户 对 这 个 目 录 有 写 和 执行 权限 . find /usr/src/redhat -type d | xargs chmod 
a+WX 

3. Fedora 上 可 以 得 到 FreeRADIUS 的 最 新 版 本 . 我 们 可 以 使 用 这 个 版 本 来 在 CentOS 上 编译 
RPM. 从 下 面 的 URL 上 下 载 RPM 源码 . 
https://kojipkgs.fedoraproject.org//packages/freeradius/2.2.5/2.fc19/src/freeradius-2.2.5- 
2.fc19.src.rpm RPM 的 源码 包 以 .src.rpm 结尾 . 

4. 安装 这 个 源码 包 . 例如 使 用 下 面 的 命令 . 你 的 源码 包 的 命名 可 能 不 同 ，rpm -ihv --nomd5 
freeradius-2.2.5-2.fc19.src,rpm . 

5. 使 用 下 面 的 命令 来 决定 需要 的 依赖 . 这 些 依赖 必须 在 包 边 以 前 被 安装 ，rpmbuild -ba 
/usr/src/redhat/SPECS/freeradius.spec 

6. 使 用 yum 来 安装 这 些 依赖 .在 我 的 系统 上 时 下 面 这 些 . yum install autoconf gdbm-devel 
libtool libtool-ltdl-devel openssl-devel pam-devel zlib-devel net-snmp-devel net-snmp- 
utils readline-devel libpcap-devel openldap-devel krb5-devel python-devel mysql-devel 
postgresql-devel unixODBC-devel 

7， 安 装 一 个 编译 器 . yum install gcc 

8. 0 rpmbuild 命令 . 使 用 普通 用 户 来 做 , 使 用 tee 来 输出 到 一 个 文件 来 为 了 将 来 的 研 

这 将 会 启动 编译 过 程 , 需要 花费 一 些 时 间 . rpmbuild -ba 

/usr/src/redhat/SPECS/freeradius.spec | tee /tmp/freeradius build out.txt . 

9， 当 它 成 功 完成 , 将 会 有 一 个 指示 RPM 已 经 写 入 . 新 安装 的 RPM 将 会 得 到 下 面 这 行 ， Wrote: 
/usr/src/redhat/RPMS/i386/freeradius-debuginfo-2.1.10-1.i386.rpm 

10. 安装 新 编译 的 RPM. 下 面 的 命令 将 会 导致 一 个 基本 的 FreeRADIUS 安 装 . yum --nogpgcheck 
install /usr/src/redhat/RPMS/i386/freeradius-2.1.10-1.i386.rpm 


/usr/src/redhat/RPMS/i386/freeradius-utils-2.1.10-1.i386.rpm 如 果 你 得 到 消 息 通 知 


你 No package <path and package name> available ,确认 你 指定 了 正确 的 版 本 号 . 


发 生 了 什么 ? 


我 们 刚刚 创建 和 安装 了 CentOS 上 最 新 的 RPM. 下 面 是 一 些 重点 的 分 解 . 


安装 rpm-build 


rpm-build 包 和 包含 脚本 和 可 执行 程序 用 来 编译 RPM 包 . 他 包括 rpmbuild 程序 , 我 们 将 用 来 创建 
RPM. 


RPM 包 的 源码 . 


我 们 使 用 FreeRADIUS wiki 上 推荐 的 Fedora 的 RPM 包 源码 . 这 导致 一 个 更 加 稳定 和 更 好 的 包工 
作 和 集合, 已 经 包含 了 发 行 版 相关 的 tweak 和 修改 . 


包 名 


注释 包 名 是 freeradius 而 不 是 freeradius2 . 这 是 因为 所 有 的 在 Fedora 里 面 的 包 已 经 是 2.X. 


从 FreeRADIUS 1.x 版 本 升级 在 Fedora 系 统 不 像 CentOS 那 样 没有 问题 . 


更 新 一 个 已 经 存在 的 安装 


如 果 你 已 经 有 FreeRADIUS 安 装 了 , 他 可 能 一 些 模 块 你 需要 包含 在 更 新 的 时 候 . 
e 决定 FreeRADIUS 的 版 本 和 当前 安装 的 包 通 过 使 用 下 面 的 命令 .yun list freeradius\* 


e 当 你 已 经 作为 预 编译 包 安 装 了 freeradius2 ，yum 将 会 抱怨 , 当 尝 试 安 装 新 
的 freeradius 包 ， 因为 名 字 冲 突 . 你 可 以 卸载 freeradius2 包 ， 通过 下 面 的 命令 . yum 


erase freeradius\* 


e。 上 面 假定 你 没有 做 任何 配置 修改 到 安装 , 你 想 要 保留 . 


SUSE 也 利用 RPM 包 管理 器 来 软件 管理 就 像 RedHat 发 行 版 一 样 . 尽管 都 使 用 RPM 作为 基础 的 
软件 管理 , SLES 使 用 zypper 来 管理 软件 包 仓 库 , CentOS 使 用 yum . 


SLES 是 一 个 硬 核 的 企业 发 行 版 . 尽 可 能 使 用 预 编译 包 , 但 是 如 果 你 感到 勇敢 , 想 要 你 的 手 变 脏 ， 
一 节 为 你 准备 . 


在 SLES 上 编译 FreeRADIUS 的 RPM 包 , 要 比 CentOS 或 者 Ubuntu 徐 琵 更 多 的 努力 . 


添加 一 个 DpenSUSE 人 仓库 


从 源码 编译 FreeRADIUS 需 要 许多 开发 库 . 标准 的 SLES 仓 库 不 需要 全 部 包含 他 们 他 们 , 甚至 当 
使 用 的 SDK DVD 是 SLES 的 一 部 分 . 我 们 因此 需要 添加 OpenSUSE 仓 库 . 这 将 会 满足 所 有 的 开 
发 库 需 求 . 


通过 下 面 的 URL 定 位 离 你 最 近 的 OpenSUSE 镜 像 : http://mirrors.opensuse.org 
使 用 root 用 户 开始 YAST . 

选择 Software | Software Repositories 并 且 然 后 选择 Add 来 添加 到 一 个 仓库 . 
添加 在 开始 时 你 选择 的 OpenSUSE 镜 像 . 对 于 我 的 OpenSUSE11.3 最 近 的 URL 是 : 
ftp://opensuse.mirror.ac.za/opensuse/distribution/11.3/repo/oss/suse 
5， 你 可 能 要 被 接受 GnuPG 密 钥 的 导入 对 于 新 的 仓库 . 选择 Import 来 继续 . 


OD 


这 个 设置 编译 FreeRADIUS RPM 的 阶段 . 现在 遵循 下 面 的 步骤 : 


.从 官网 下 载 最 新 的 .tar.bz2 格式 的 FreeRADIUS 源 码 . 
2.，SLES 包 括 一 个 目录 结构 专门 用 于 编译 RPM. 位 于 /usr/src/packages . 拷贝 原始 的 bz2 源 
文件 到 SOURCES 目 录 . 替换 X 和 y 为 对 应 的 版 本 .cp freeradius-server-2.x.y.tar.bz2 
/usr/src/packages/SOURCES/ . 
3. 从 TAR 文件 解压 SUSE RPM .spec 文 件 , 替换 X,y 为 对 应 版 本 . 


# cd /usr/src/packages/SOURCES/ 
# tar -xvjf freeradius-server-2.x.y.tar.bz2 freeradius-server-2.x.y/suse/freeradius.: 


4. 拷贝 下 面 的 文件 到 /usr/src/packages/SPECS 目录 : 





# cp freeradius-server-2.x.y/suse/freeradius.spec ../SPECS/ 


5. 编辑 spec 文件 的 下 面 的 行 ， 修改 %{fillup_and_insserv -s freeradius 
START_RADIUSD} 为 %{fillup_and_insserv freeradius} . 

6. 运行 下 面 的 命 令 来 决定 依赖 . rpmbuild -ba /usr/src/packages/SPECS/freeradius.spec 

7. 这 个 将 会 列 出 必要 的 开发 包 来 安装 ,为 了 FreeRADIUS RPM 被 编译 . 在 你 的 系统 上 的 列表 
可 能 不 同 . 下面 是 我 的 系统 上 的 结果 (用 zypper 安装 他 们 ) 


zypper in db-devel e2fsprogs-devel gcc-c++ gdbm-devel gettext-devel glibc-devel ncurs 


4] 








8.， 再 次 运行 rpmbuild 命令 . 如 果 所 有 的 依赖 都 满足 , RPM 的 编译 将 会 开始 . 把 结果 tee 到 一 
文件 用 于 将 来 的 调查 . 


rpmbuild -ba /usr/src/packages/SPECS/freeradius.spec | tee /tmp/build_ out.txt 


9， 当 编译 完成 , RPM 位 于 /usr/src/packages/RPMS/<architecture>/ 目录 . 
10. 使 用 下 面 命令 安装 新 的 FreeRADIUS 包 


# cd /usr/src/packages/RPMS/<architecture>/ 
# zypper in freeradius-server-2.x.y-0.i586.rpm freeradius-server-libs-2.x.y-0.i586.rt 


= = 


11. 注意 默认 FreeRADIUS 将 会 已 用 户 radiusd 运行 . 这 个 用 户 是 在 安装 FreeRADIUS 过 程 中 
创建 的 . 给 这 个 用 户 certs 目录 的 权限 . 否则 会 安装 失败 . 





chown -R radiusd. /etc/raddb/certs 


12. 通过 radiusd -x 来 确认 radiused 可 以 正确 启动 
13. ctrltc 将 会 停止 正在 运行 的 FreeRADIUS. 你 现在 可 以 使 用 下 面 的 启 动 脚 本 来 启动 
FreeRADIUS 


/etc/init.d/freeradius start 


帮 生 了 和 作 么 ? 

我 们 完成 了 在 SLES 上 编译 和 安装 FreeRADIUS. 尽管 不 像 CentOS 那 样 优雅 , 仍然 没有 许多 问 
题 . 

zypper 还 是 yast -i 


使 用 zypper 来 安装 需要 的 依赖 . 使 用 yast -i 来 安装 需要 的 gettext-devel 包 将 会 返回 一 个 错 
误 . zypper 知道 gettext-tools 包 将 会 满足 依赖 . 


使 用 yast -i 来 安装 依赖 也 寻 致 从 OpenSUSE 仓 库 不 需要 的 更 新 . 你 会 被 警告 . 


手动 tweak 


有 一 些 tweak 我 们 必须 手动 执行 ,为 了 获取 在 SLES 上 有 最 新 的 FreeRADIUS. 


e。 添加 OpenSUSE 仓 库 作 为 一 个 开发 包 源 . 
e。 从 OpenSUSE 人 安装 各 种 开发 包 . 

e 编辑 freeradius.spec 来 卸载 昌 的 宏 . 
修改 包含 证 书 的 目录 的 权限 . 


Ubuntu 是 基于 Debian Linux, 使 用 dpkg 包 挂 利 器 来 管理 软件 像 deb. 


apt 程序 是 用 来 管理 dpkg 仓 库 , 跟 zypper 和 yum 使 用 RPM 是 一 样 的 . 


下 面 的 步骤 将 会 展示 如 何 安装 deb. 


1. 


安装 dpkg-dev 包 . 这 个 包 提 供 开 发 工具 (包括 dpkg-source ), 用 来 unpack, 编译 , 和 上 传 
Debian 源 码 包 . sudo apt-get install dpkg-dev 如 果 这 个 包 没 有 安装 , 检查 被 apt 程序 使 
用 的 源 列表 . 这 个 仓库 的 源 定 义 在 /etc/apt/sources.1list 文件 , 并且 通过 apt-get 

update 命令 更 新 . 

安装 所 有 freeradius 包 需 要 的 开发 库 


sudo apt-get build-dep freeradius 


如 果 你 得 到 一 个 信息 : Unable to find a source package for freeradius ， 可 能 因为 仓库 源 
(deb-src) 没 有 包含 在 /etc/apt/sources.1ist 文件 . 
确保 fakeroot 程序 被 安装 . 


sudo apt-get install fakeroot 


确保 ssl-cert 包 被 安装 . 不 能 安装 这 个 包 将 会 导致 编译 EAP 模 块 出 现 问题 . 


sudo apt-get install ssl-cert 


下 载 最 新 版 本 的 FreeRADIUS 源 码 . 


wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.x.y.tar.gz 


解压 FreeRADIUS 的 源码 TAR 文 件 . 


tar -xzvf freeradius-server-2.x.y.tar.gz 


切换 到 解压 目录 . 


cd freeradius-server-2.x.y 


在 当前 目录 创建 一 个 fakeroot 环境 , 并 且 使 用 已 经 包含 在 debian 子 目 录 的 控制 文件 来 编 
译 包 . 编译 过 程 将 会 花费 一 些 时 间 并 且 依 赖 计算 机 能 性 能 . 你 可 以 监控 这 个 命令 的 结果 ,是 
否 有 fatal 错 误 , 尽管 他 应 该 能 够 工作 . 


fakeroot dpkg-buildpackage -b -uc 


这 将 会 创建 所 有 需要 的 deb 并 且 把 他 们 放 到 freeradius-server-2-x.y 目录 外 . 
通过 下 面 的 命令 安装 新 的 deb. 


Cel 
sudo dpkg -i freeradius 2.x.y+git_i386.deb freeradius-common 2.x.y+git all.deb freere 








发 生 了 什么 ?3 
我 们 刚刚 创建 和 安装 了 最 新 的 FreeRADIUS 包 到 Ubuntu. 下 面 是 一 些 分 解 的 重点 . 


安装 dpkg-dev 

dpkg-dev 包 安 装 编译 deb 的 需要 的 所 有 工具 . 这 包括 autoconfig 和 make 工具 , 还 有 一 个 编译 
器 .也 和 包括 dpkg-buildpackage 陈 天 旭 ,我们 将 会 使 用 来 创建 deb. 

使 用 build-dep 


apt-get 是 接 下 来 使 用 的 命令 来 指导 他 做 什么 . 当 我 们 安装 包 时 ， 使 用 install 命令 ， build- 
dep 命令 用 来 安装 所 有 一 个 指定 源码 包 的 依赖 . 


我 们 没有 使 用 随 着 ubuntu 一 起 的 源码 包 , 而 是 使 用 来 自 FreeRADIUS 最 新 的 源码 包 . 这 表示 他 
不 是 一 个 十 分 安全 的 方法 , 尤其 当 最 新 的 源码 包含 开发 库 跟 ubuntu 默认 装 的 版 本 不 一 致 的 时 候 . 
然而 你 将 会 被 通知 在 编译 过 程 中 , 可 以 最 后 安装 这 个 依赖 的 库 . 


fakeroot 


这 个 命令 允许 我 们 作为 一 个 普通 用 户 编 译 deb, 并 且 是 推荐 的 方式 ，Fakeroot 跟着 一 个 命令 . 这 
个 fakeroot 调用 的 命令 将 会 认为 他 是 通过 root 用 户 有 root 权 限 对 于 文件 操作 . 在 我 们 的 例子 中 ， 
我 们 使 用 dpkg-buildpackage 命令 . 


dpkg-buildpackage 


这 个 命令 在 FreeRADIUS 源 码 目 录 运 行 . 他 将 会 利用 debian 目录 的 指定 信息 来 编译 源码 和 术 
后 创建 各 种 FreeRADIUS 包 . -b 选项 是 对 于 只 有 二 进 制 的 编译 , 而 -uc 选项 是 跳 过 一 
个 gpg 密 钥 的 签名 . 


安装 debs 


我 们 安装 基础 的 包 . 当 我 们 需要 额外 的 二 模 考 时 , 他 们 可 以 作为 一 个 包 来 安装 . 需要 的 依赖 可 以 
通过 使 用 apt 命令 来 安装 . 


对 于 那些 守旧 派 的 人 


尽管 我 们 鼓励 这 样 编译 包 , 我 们 没有 阻止 你 使 用 configure, make, make install 模式 . 如 果 你 
运行 ./configure --help 你 会 看 到 一 个 选项 列表 . 你 可 以 用 来 tweak FreeRADIUS 的 编译 过 程 . 
你 可 以 例如 指定 某 个 目录 (--bindir=/usrbin), 使 能 或 禁用 某 个 特性 (--enable-developer), 或 者 包 


括 某 个 包 (--with-openssl) 


FreeRADIUS 有 许多 可 执行 文件 被 安装 . 当 在 不 同 发 行 版 之 间 移 动 时 , 有 小 的 不 同 点 需要 考虑 . 


这 样 的 不 同 是 配置 文件 的 位 置 . 另 一 个 不 同 是 FreeRADIUS 服 务 器 程序 的 名 称 的 不 同 . 在 
UpuntuthDetian) 他 叫做 freeradius ,在 CentOS 和 SLES, 他 叫做 radiusd . 下 表 列 出 了 重 


要 的 可 执行 程序 , 带 有 一 个 简短 描述 . 


不 是 所 有 的 列 出 的 命令 默认 都 可 以 执行 


名 称 童 述 
/usr/sbin/raddebug radmin 的 Shell 御 本 wrapper 用 于 调试 输出 不 必 在 debug 模 式 


/usr/sbin/radiusd 或 
/usr/sbin/freeradius 


下 运行 radiusd . 


RADIUS 服务 器 程序 


/usr/sbin/radmin 连接 到 一 个 运行 的 radiusd daemon 的 管理 程序 
/usrbin/radclient 用 来 发 送 各 种 RADIUS 包 到 RADIUS 服务 器 和 显示 回复 
/usrbin/radconf2xml 以 XML 格式 显示 当然 服务 器 的 配置 

/usrbin/radcrypt 加 密 或 者 检查 密码 以 DES 或 MD5 格 式 
/usr/bin/radeapclient 发 送 EAP 包 给 一 个 RADIUS 服务 器 


/usr/bin/radlast 


/usr/bin/radsqlrelay 


/usr/bin/radtest 
/usr/bin/radwho 
/usr/bin/radzap 


/usr/bin/smbencrypt 


系统 的 上 一 个 命令 的 前 端 用 于 显示 从 accounting 日 志文 件 
的 输出 


用 于 管理 记录 在 一 个 SQL 日 志文 件 的 账户 细节 
是 rim sql_log 模块 创建 的 


这 个 文件 


个 RADIUS 服务 器 ,并 


发 送 Access-Request (code 1) 包 给 一 
且 显 示 回 复 . radclient 的 前 端 


从 radutmp 文件 显示 活跃 的 连接 


shell 脚 本 wrapper 用 于 移 除 在 session 数 据 库 (file 或 者 SQL) 里 
的 坎 骗 记录 (rogue entries) 


给 定 一 个 明文 密码 的 nt 密码 哈 硕 , 被 MS-CHAP 需 要 . 


. 命令 像 radwho 和 radlast 依赖 日 志文 件 的 存在 , 因为 


他 们 作为 这 pe 命令 像 radmin 和 raddebug 需要 一 个 在 服务 器 上 的 特殊 的 设置 在 他 
们 能 够 运行 之 前 . 如 果 不 是 所 有 的 这 些 命令 都 能 在 新 的 安装 上 运行 , 不 要 担心 . 


FreeRADIUS 应 该 被 尽 可 能 低 的 权限 运行 在 生产 环境 中 . 一 个 正常 的 安装 创建 一 个 专用 的 用 户 
和 组 为 了 这 个 目的 . 

在 CentOS 和 SLES 上 , 用 户 和 组 叫做 radiusd .在 Ubuntu 上 , 用 户 和 组 叫做 freerad . 只 有 特殊 
的 配置 才 需 要 root 权 限 . 


在 一 些 安装 上 (SLES), FreeRADIUS 客 户 端 程序 不 能 读 取 字 典 文件 . 这 只 有 当 你 用 一 个 普通 用 


户 运行 时 才 会 发 生 . 访问 dictionary 文件 是 需要 的 对 于 客户 端 来 解析 许多 RADIUS AVPs 到 数 
字 . 
当 这 个 问题 存在 时 , 你 将 会 的 到 下 面 的 信息 : 


radclient: dict_init: Couldn't open dictionary "/etc/raddb/dictionary": Permission denied 
J 


"| 





过 使 用 下 面 命令 来 修复 该 问题 . 


# chmod o+xr /etc/raddb 
# chomod o+r /etc/raddb/dictionary 


在 这 之 后 一 个 普通 用 户 应 该 可 以 运行 FreeRADIUS 客 户 端 程序 没有 任何 权限 问题 . 


执行 radiusd -X (或 者 freeradius -Xx 在 Ubuntu), 用 root 用 户 , 将 会 启动 FreeRADIUS 以 debug 
模式 , 并 且 会 给 出 提示 , 如 果 有 任何 问题 . 


使 用 ctrl + Cc 来 停止 服务 器 程序 . 


如 果 你 得 到 一 个 错误 信息 关于 1812 端 口 已 经 被 使 用 , FreeRADIUS 已 经 运行 . 你 可 以 通过 启动 
脚本 关闭 然后 再 运行 来 解决 . 


我 们 也 需要 确保 FreeRADIUS 在 重启 后 能 够 启动 带 有 其 余 的 服务 . 不 幸 的 是 每 个 发 行 版 在 这 里 
工作 不 同 . 下 表 可 以 被 用 做 一 个 向 导 来 管理 FreeRADIUS 的 启动 


这 些 脚 本 的 每 一 个 可 以 被 列 出 的 参数 之 一 调用 . 


发 行 版 启动 脚本 
CentOS /etc/init.d/radiusd start/stop/restart 
SLES /etc/init.d/freeradius start/stop/restart 
Ubuntu /etc/init.d/freeradius start/stop/restart 
发 行 版 使 能 和 禁用 
CentOS /sbin/chkconfig radiusd on/off 
SLES /sbin/chkconfig -a freeradius 和 /sbin/chkconfig -d freeradius 
Ubuntu update-rc.d freeradius defaults 和 update-rc.d -f freeradius remove 


确保 FreeRADIUS 在 运行 : pidof freeradius 或 者 ps aux | grep radius 


检查 FreeRADIUS 在 使 用 哪个 网 络 接口 和 UDP 端口 : netstat -unap | grep radius 


一 章 是 关于 安装 FreeRADIUS 到 你 的 机 器 


安装 预 编译 包 . 最 快 和 确定 的 方式 来 拥有 一 个 工作 的 FreeRADIUS 服 务 器 . 

从 源码 编译 和 安 装 FreeRADIUS. 这 个 会 有 点 复杂 , 但 是 使 你 可 以 运行 最 新 的 版 本 . 
FreeRADIUS 安 装 各 种 可 执行 程序 并 且 和 包含 各 种 模块 . 有 些 模块 是 单独 打包 的 , 基于 不 同 
的 linux 发 行 版 . 
e 你 也 用 过 安装 客 
e。 用 普通 用 户 运行 
权限 来 修复 . 


户 端 程序 . 让 你 高 效 低 测试 和 排查 问题 . 
客户 端 程序 导致 文件 权限 问题 , 当 尝 试 访问 字典 问题 . 这 个 可 以 通过 修改 


我 们 也 讨论 了 如 何 确保 重启 后 自动 启动 , 以 debug 模 式 运行 FreeRADISU 来 排查 问题 . 


既然 FreeRADIUS 安 装 了 并 且 运 行 在 我 们 的 机 器 上 , 我 们 可 以 开始 使 用 它 . 开始 使 
用 FreeRADIUS 是 下 一 章 的 主题 . 


党 作业 - 安装 


1. lsaac 是 困 oo ei 但 是 radiusd 二 
进 制程 序 不 见 了 , 这 是 为 什么 

2. es oe 你 重启 服务 器 . 你 想 要 运行 radiusd 以 debug 模 
式 , 但 是 radiusd 抱怨 , 地 址 以 及 被 占用 , 这 是 什么 问题 ? 

3. ee 车 接 到 一 个 CentOS 上 的 MySQL 数 据 库 . 预 编译 的 FreeRADIUS 色 
需要 什么 

4. 的 他 想 要 在 SLES11 上 编译 FreeRADIUS, 到 那 时 他 尝试 安装 需要 的 
编译 库 , 他 不 能 找到 所 有 的 需要 的 库 . 这 是 什么 问题 ? 


在 FreeRADIUS 被 安装 之 后 , 他 需要 按照 我 们 的 需要 进行 配置 . 这 一 章 将 会 帮助 你 熟悉 
FreeRADIUS. 假定 你 已 经 了 解 第 一 章 中 讨论 的 RADIUS 协议 的 基础 了 . 
正在 这 一 章 我 们 将 会 

。 对 FreeRADIUS 进 行 一 个 基本 配置 , 并 测试 他 . 

e 发 现 更 多 获取 帮助 的 方法 . 

e@ 学 会 推荐 的 配置 和 测试 FreeRADIUS 的 方法 . 

。 了解 一 起 是 怎么 适 配 在 一 起 与 FreeRADIUS 工 作 的 . 


开始 和 让 


这 章 假定 你 有 一 个 FreeRADIUS 的 干净 的 安装 . 你 将 会 需要 root 权 限 来 修改 FreeRADIUS 的 配 
置 文件 来 基本 配置 和 测试 


我 们 以 一 个 下 面 简单 的 FreeRADIUS 配 置 来 开始 这 一 章 


e。 本 机 作为 一 个 NAS 设 备 (RADIUS 客 户 端 ) 

e Alice 定 义 为 一 个 测试 用 户 . 
在 我 们 已 经 定义 客户 端 和 测试 用 户 之 后 , 我 们 将 会 使 用 radtest 程序 来 作为 RADIUS 客户 端的 
角色 并 且 测 试 Alice 的 authentication. 


FreeRADIUS 是 通过 修改 配置 文件 来 配置 的 . 这 些 文件 的 位 置 依赖 于 FreeRADIUS 是 怎样 被 安 
装 的 : 


。 如 果 你 安装 发 行 版 提供 的 标准 FreeRADIUS 包 , 在 CentOS 和 SLES 上 , 将 会 在 /etc/raddb . 
在 Ubuntu 上 将 会 在 /etc/freeradius . 

。 如 果 你 使 用 发 行 版 的 包 管 理 系统 从 源码 编译 和 安装 FreeRADIUS, 在 CentOS 和 SLES 上 ， 
将 也 会 在 /etc/raddb . 在 Ubuntu 上 将 会 在 /etc/freeradius . 

e 如 果 你 通过 configure ，make ，make install 来 编译 和 安装 FreeRADIUS, 他 将 会 


在 /usr/local/etc/raddb . 
写 明 的 命令 假定 FreeRADIUS 的 配置 目录 为 你 的 当前 工作 目录 . 


1. 确保 你 是 root 用 户 为 了 能 够 编辑 配置 文件 . 
2.， FreeRADIUS 包 括 一 个 默认 的 客户 端 叫做 localhost . 这 个 客户 端 被 在 localhost 
上 RADIUS 客户 端 程序 所 使 用 来 帮助 排查 问题 和 测试 . 确认 下 面 的 入 口 存在 
在 clients.conf 文件 中 : 
client localhost { 
ipaddr = 127.0.0.1 
secret = testing123 
require message_authenticator = no 


nastype = other 


} 


3， 定 义 Alice 作 为 一 个 FreeRADIUS 测 试用 户 . 添加 下 面 的 行 到 users 文件 的 顶部 . 确定 第 二 
行 和 第 三 行 前 面 由 一 个 单一 的 tab 键 缩 进 : 
"alice" Cleartext-Password := "passme" 


Framed-IP-Address = 192.168.1.65, 
Reply-Message = "Hello, %{User-Name}" 


4.， 以 debug 模 式 启 动 FreeRADIUS. 使 用 启动 脚本 来 关闭 FreeRADIUS 来 确保 没有 其 他 实例 
在 运行 .在 Ubuntu 中 我 们 这 样 做 : 


# /etc/init.d/freeradius stop 
# freeradius -Xx 


你 也 可 以 使 用 更 暴力 的 方法 : kill -9 $(pidof freeradius) 或 者 killall freeradius 在 
Ubuntu 上 和 kill -9 $(pidof radius) 或 者 killall radiusd 在 CentOS 和 SLES 上 , 如 果 启 
动 脚本 没 能 停止 FreeRADIUS. 

5. 确保 FreeRADIUS 已 经 正确 的 启动 通过 确认 在 你 的 屏幕 上 的 最 后 一 行 是 : Ready to 
process requests， 如 果 这 个 没有 发 生 , 阅读 FreeRADIUS 的 debug 输 出 . 

6. 使 用 下 面 的 命令 来 Authenticate Alice. 


radtest alice passme 127.0.0.1 100 testing123 


7. FreeRADIUS 的 debug 输 出 将 会 展示 Access-Request 包 到 达 并 且 FreeRADIUS 服 务 器 如 何 
响应 这 个 请 求 . 
8. radtest 将 也 会 显示 FreeRADIUS 服 务 器 的 回复 : 
Sending Access-Request of id 17 to 127.0.0.1 port 1812 
User-Name = "alice" 
User-Password = "passme" 
NAS-IP-Address = 127.0.0.1 
NAS-Port = 100 
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=147, length=40 


Framed-IP-Address = 192.168.1.65 
Reply-Message = "Hello, alice" 


发 生 了 什么 ?3 
我 们 已 经 在 FreeRADIUS 上 创建 了 一 个 测试 用 户 . 我 们 也 使 用 radtest 命令 作为 一 个 客户 端 
到 FreeRADIUS 服 务 器 来 测试 authentication. 


让 我 们 详细 描述 一 些 有 趣 和 重要 的 点 . 


配置 FreeRADIUS 


FreeRADIUS 服 务 器 的 配置 逻辑 上 划分 为 不 同 的 文件 . 这 些 文件 被 修改 来 配置 某 个 功能 , 组 件 
或 者 FreeRADIUS 模 块 . 然而 有 一 个 主 配置 文件 包含 各 种 子 配 置 文件 , 叫做 radiusd.conf . 


默认 的 配置 适合 大 多 数 安装 . 只 需要 非常 少 修改 来 使 FreeRADIUS 在 你 的 环境 有 用 . 


尽管 在 FreeRADIUS 服 务 器 的 配置 目录 内 有 许多 文件 , 只 有 少量 将 来 需要 修改 的 . 
clients.conf 文件 是 用 来 定义 到 FreeRADIUS 服 务 器 的 客户 端的 . 
在 一 个 NAS 可 以 使 用 FreeRADIUS 服 务 器 之 前 , 他 必须 被 定义 为 在 FreeRADIUS 服 务 器 上 的 一 


个 客户 端 , 让 我 们 看 一 些 关 于 客户 端 定义 的 要 点 . 


Sections 


一 个 客户 端 通过 一 个 client section 定 义 . FreeRADIUS 使 用 section 来 分 组 和 定义 许多 东西 . 
一 个 section 以 一 个 关键 字 开 始 表 示 section 名 称 . 然后 跟着 一 个 封闭 的 大 括号 . 在 封闭 的 括号 内 
部 有 许多 配置 指定 到 这 个 section. section 可 以 被 齿 套 . 


有 时 section 的 关键 字 跟 着 一 个 单一 的 词 来 区 分 通 一 个 类 型 的 不 同 的 section. 这 允许 我 们 
在 clients.conf 中 有 不 同 客户 端 入 口 . 没 一 个 客户 端 有 一 个 简短 的 名 称 来 区 分 他 和 其 他 的 . 


clients,conf 文件 不 是 唯一 的 文件 ，client Section 可 以 被 定义 ， 尽管 他 是 常用 和 最 符合 逻辑 
的 地 方 .下 图 显示 在 一 个 server section 内 谨 套 定义 的 客户 端 


Server wifi { 
: keyword 
listen { ; 
: name (depend on context) 


enclosing brackets 


client ap_canteen_1{ : 
ipaddr = 192.168.1.200 | mm 
Secret = testing123 ; 

} : client ap_canteen 21{ 


client ap_canteen 21{ 


ipaddr = 192.168.1.201 一 一 > 


Secret= testing122 


client section 





virtual server section 


客户 端 标识 

FreeRADIUS 服 务 器 通过 他 的 IP 地 址 标识 一 个 客户 端 . 如 果 一 个 不 知道 的 客户 端 发 送 给 服务 器 
一 个 请 求 , 这 个 请 求 将 会 被 默默 忽略 . 

共享 密 钥 (shared secret) 


客户 端 和 服务 器 端 也 需要 有 一 个 共享 的 密 铀 ， 将 会 用 来 加 密 和 解密 某 些 AVPs. User-Password 
AVP 的 值 使 用 这 个 共享 密 钥 加 密 . 当 共 享 密 钥 在 客户 端 和 服务 器 端 不 同时 , FreeRADIUS 服 务 器 
将 会 检测 到 他 并 且 当 运行 的 debug 模 式 时 警告 你 


Failed to authenticate the user. 
WARNING: Unprintable characters in the password. Double-check the shared secret on th 


了 i : 





Message-Authenticator 


当 定 义 一 个 客户 端 你 可 以 强制 在 所 有 请 求 中 出 现 Message-Authenticator AVP. 由 于 我 们 将 会 
使 用 radtest 程序 , 没有 包含 他 , 我 们 对 于 localhost 禁用 他 , 通过 设 


置 require_message_authenticator 为 no . 


Nastype 


nastype 设置 为 other . nastype 的 值 将 会 剧 而 定 checkrad Perl 脚 本 将 会 会 如 何 执 行 . 
checkrad 是 用 来 决定 一 个 用 户 是 否 已 经 使 用 一 个 NAS 的 资源 . 由 于 localhost 没有 这 个 人 功能 
或 者 我 们 需要 定义 他 为 other . 


常见 错误 


如 果 服 务 器 下 线 或 者 从 radtest 发 出 的 包 由 于 防火 墙 不 能 到 达 服 务 器 ，radtest 将 会 尝试 3 次 
然后 以 下 面 信息 放弃 


radclient: no response from server for ID 133 socket 3 


如 果 你 用 普通 用 户 运行 radtest ,他 可 能 会 抱怨 没有 权限 访问 FreeRADIUS 字 典 文 件 . 这 对 于 
普通 操作 是 需要 的 . 解决 这 个 的 方法 是 修改 报告 的 文件 的 权限 或 者 用 root 运 行 radtest 


users 文 件 


用 户 定义 在 users 文件 在 FreeRADIUS 的 配置 目录 . users 文件 的 内 容 是 用 来 Authorization 和 
Authentication. 这 个 文件 不 仅 使 用 户 的 来 源 也 是 一 个 简单 有 效 的 方式 开始 . 让 我 们 看 一 些 关于 
users 文 件 的 关键 点 . 


文件 模块 


files 模块 ( rim_files ) 读 取 users 文件 的 内 容 来 决定 是 否 在 Access-Request 中 指定 的 用 户 
存在 并 且 授 权 来 使 用 NAS. 他 也 决定 了 什么 attribute 应 该 被 返回 给 客户 端 


files 模块 也 设置 了 Auth-Type . 这 将 会 决定 要 使 用 的 authentication 方 法 . 如 果 一 个 用 户 定 义 


了 带 有 cleartext-Password Check item, 他 将 会 设置 Auth-Type = PAP . 


files 模块 也 提供 其 他 的 模块 带 有 一 个 值 "know good password" 如 果 定 义 了 . 在 我 们 的 例子 
中 , 他 提供 pap 模块 ( rlm_pap ) 带 有 值 指定 在 cleartext-Password check AVP 


PAP 模块 


pap 模块 ( rlm_pap ) 是 用 来 authentication. 如 果 Auth-Type 设置 为 PAP ,他 将 会 寻找 known 
good password 并 且 将 他 跟 User-password AVP 的 值 比较 . 如 果 是 相同 的 , 这 个 模块 将 会 


authentication 请 求 . 


请 求 可 能 仍然 失败 由 于 在 FreeRADIUS authentication 链条 的 其 他 模块 . 


Users 文 件 


users 文件 不 包含 任何 section 像 clients.conf . 这 是 因为 他 是 针对 files 模块 并 且 不 直接 跟 
FreeRADIUS 服 务 器 自身 相关 的 . 


要 在 users 文件 中 添加 一 个 入 口 , 你 可 以 定义 一 个 用 户 名 跟着 0 个 或 者 更 多 去 号 分 隔 的 检查 项 . 
接着 跟着 0 个 或 者 更 多 tab 缩 进 的 行 用 去 号 分 隔 的 回复 项 . 


ED 


我 们 假定 你 在 使 用 默认 的 配置 没有 对 sites-enabled/default 虚拟 服务 器 做 任何 修改 . 如 果 你 改 
了 , 例如 , 激活 了 在 authorize Section 下 面 的 Unix 模 块 并 且 Alice 也 被 定义 为 一 个 系统 用 户 , 系 
统 用 户 和 他 们 密码 将 会 是 优先 的 用 户 而 不 是 在 users 文件 中 定义 的 那个 . 结果 将 会 是 一 

介 Access-Reject 包 被 返回 来 回应 Access-Request 如 果 在 Alice( 系 统 用 户 ) 和 Alice( 在 user 文 
件 中 用 户 ) 不 同 . 


Check 项 目 


下 面 的 入 口 需要 Access-Request 包 , 包含 一 个 AVP 对 于 NAS-IP-Address 带 有 值 127.0.0.1 . 


"alice" Cleartext-Password := "passme", NAS-IP-Address == '127.0.0.1' 


radtest 程序 将 会 默认 设置 NAs-IP-Address 的 值 为 hostname 的 IP 在 /etc/hosts 文件 中 指定 
的 . 后 面 的 章节 中 你 将 会 看 到 这 个 值 怎样 修改 . 


一 些 AVPs 有 一 个 特殊 的 含义 和 被 FreeRADIUS 内 部 使 用 . 尽管 进来 的 Access-Request 没有 包 
含 一 个 AVP 叫 做 cleartext-Password , 这 个 files 模块 内 部 使 用 他 来 调整 Auth-Type 的 值 并 且 
来 创建 一 个 好 的 密码 , 可 以 被 pap 模块 使 用 来 authentication. 


另 一 个 特殊 的 AVP 的 例子 是 当 你 想 要 拒绝 或 者 接受 一 个 基于 用 户 的 用 户 名 , 无 论 他 们 的 密码 是 
什么 .之 前 的 行将 会 改变 为 下 面 中 的 一 个 . 


"alice" Cleartext-Password := "passme", Auth-Type := Reject 
"alice" Cleartext-Password := "passme", Auth-Type := Accept 


尽管 Auth-Type 似乎 是 一 个 标准 的 AVP 检 查 项 , 他 属于 FreeRADIUS 内 部 , 并 且 是 用 来 控制 哪 种 
authentication 将 会 被 使 用 . 


回复 项 


开源 项 目 有 时 因为 缺少 文档 和 支持 被 批判 . FreeRADIUS 在 提供 合适 的 文档 跟 提 供 帮 助 的 方式 
上 做 了 一 个 好 的 榜样 . 


安装 的 文档 


有 许多 文档 , 随 着 FreeRADIUS 一 起 安装 . 以 manpages 的 形式 , 在 配置 文件 中 的 注释 , 许多 
README 文 件 , 和 RFC 文 件 . 


Man pages 


将 会 展示 给 你 如 何 


避 


你 可 能 不 确定 作为 FreeRADIUS 安 装 的 一 部 分 有 哪些 manpages. 下 面 一 
你 来 发 现 这 些 . 


下 面 的 命令 可 以 被 用 来 指导 首先 决定 哪些 FreeRADIUS 包 被 安装 了 和 临时 决定 包 中 包含 哪些 文 
件 : 


dpkg 系 统 
显示 所 有 FreeRADIUS 安 装 的 包 : 


$> dpkg -1 | grep radius 
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